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Einleitung 


Das Recht auf Anonymität 


Dr. Helmut Bäumler 


Gesetzlicher Anspruch oder pure Selbstverständlichkeit? 


Mit dem Begriff der Anonymität werden nicht selten außergewöhnliche 
Situationen assoziiert. Wenn von anonymen Wohltätern, anonymen Selbst- 
hilfegruppen, anonymer Beratung oder auch anonymen Warnhinweisen 
die Rede ist, eher positive, wenn es um anonyme Drohungen, anonyme 
Parteispenden und andere Missetaten geht, die unter dem Deckmantel der 
Anonymität begangen werden, eher negative. Vornehmlich bedienen wir 
uns scheinbar dann der anonymen Vorgehensweise, wenn wir etwas nicht 
Alltägliches tun. Anonymität, so könnte man meinen, ist der Ausnahmefall, 
die Normalität sieht anders aus. 


Tut sie das tatsächlich? Manchmal sind Dinge so selbstverständlich, dass 
wir sie tun, ohne lange darüber nachzudenken oder gar rechtlich fundierte 
Begründungen zu geben. Wir entscheiden im täglichen Leben häufig rein 
intuitiv, ob wir namentlich auftreten, oder ob wir anonym bleiben wollen. 
In aller Regel gehen dem keine tief schürfenden Reflexionen voraus, son- 
dern wir verhalten uns in dieser Frage so, wie uns gerade zu Mute ist oder 
wie es unserem üblichen, ganz persönlichen Verhaltensmuster entspricht. 
Manchmal haben wir auch unsere guten Gründe dafür, lieber nicht na- 
mentlich in Erscheinung treten zu wollen und wir würden uns entschieden 
gegen die Unterstellung verwahren, wir hätten deshalb im eigentlichen 
Sinne etwas zu verbergen, sei es gar strafrechtlicher Natur oder nur eine 
Unschicklichkeit. 


Vermutlich ist uns dabei gar nicht bewusst, dass wir damit ein Grundrecht 
ausüben, nämlich das Recht auf informationelle Selbstbestimmung. Es ist 
fast so, wie wenn wir atmen, essen und trinken, ohne dass wir überhaupt 
daran denken, dass wir dabei eigentlich unser Grundrecht auf Leben reali- 
sieren. Jeder Mensch braucht zu einem selbstbestimmten Leben die Mög- 
lichkeit, in bestimmten Situationen anonym aufzutreten, so wie er die A- 
temluft zum Überleben braucht!. Wer sich in allen Lebenslagen offen zu 


l Dazu Rössler, in diesem Band, S. 27 ff. 
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erkennen geben müsste, gewissermaßen seinen Namen für jedermann und 
jederzeit deutlich sichtbar eintätowiert tragen müsste, dem wäre das Recht 
auf informationelle Selbstbestimmung entzogen, denn er könnte nicht 
mehr wissen, geschweige denn selbst bestimmen, wer was wann und bei 
welcher Gelegenheit über ihn weiß. Seit dem Ende der mittelalterlichen 
Ständegesellschaft leben die Menschen frei von überkommenen Bindun- 
gen an Herkunft, Stand und Zunft?. Die - gelegentlich durchaus negativ 
apostrophierte — anonyme Massengesellschaft bietet dem Einzelnen Schutz 
und Geborgenheit vor unzumutbaren staatlichen und gesellschaftlichen 
Zugriffen. Sie spiegelt damit gleichsam das ökonomische Prinzip der 
Gleichgültigkeit des Tauschwerts gegenüber den unterschiedlichen 
Gebrauchswerten. „Non olet“ ist mehr als nur ein römisches Sprichwort, es 
ist geradezu das Sinnbild der Anonymität des Geldes, des zentralen Steue- 
rungsmittels unserer Wirtschaft. 


Vielleicht ist das Recht auf Anonymität so selbstverständlich, dass man 
davon weder sprechen noch gar ein Buch schreiben muss? Gerade wenn 
man nicht primär die Anonymität des Alltags vor Augen hat, zeigt sich, 
welch wichtige Funktionen die Anonymität in unserem Leben hat, ohne 
dass wir immer gleich das Wort „Anonymität“ bemühen. Katholiken wür- 
den z. B. eher vom Beichtgeheimnis sprechen, wenn sie von einer der 
Säulen ihrer Glaubenslehre sprechen, nämlich dem Bekenntnis und der 
Vergebung der Sünden, die überall erfolgen kann, wo ein Beichtstuhl 
steht. Wer bei der Anonymität — resp.: dem Beichtgeheimnis — auf Num- 
mer sicher gehen will, beichtet lieber nicht in seiner Heimatgemeinde. 


Auch wenn es um Strafverfolgung geht, spielt die Anonymität durchaus 
eine ambivalente Rolle. So hat zwar kein Täter und kein Verdächtiger ein 
Recht auf Anonymität. Im Gegenteil, die Polizei setzt alles daran, die Ano- 
nymität des Täters so schnell wie möglich aufzuheben und auf ihre Er- 
mittlungen folgen in aller Regel Anklage und Strafprozess. An dessen Be- 
ginn steht die Feststellung der Identität des Angeklagten durch den Vorsit- 
zenden ($ 243 Abs. 2 Satz 2 StPO), bevor die Tat und vieles mehr über die 
persönlichen Verhältnisse des Angeklagten in - in der Regel - öffentlicher 
Verhandlung ausgebreitet wird. Auch wenn die Aufhebung von Anonymi- 
tät das Ziel des Strafverfahrens ist, so bedienen sich die Strafverfolgungs- 
behörden zur Erreichung dieses Ziels ihrerseits zunehmend der Anonymi- 
tät?. Sie nehmen anonyme Hinweise - bis hin zur Einrichtung von speziel- 
len Telefonanschlüssen, Hotlines etc., verbunden mit der gezielten Auffor- 
derung an die Bürger, anonyme Anzeigen zu machen? - entgegen, sichern 
Zeugen den Schutz der Anonymität zu und setzen ihrerseits verdeckte 
Ermittlungsmethoden ein. Am deutlichsten wird dies, wenn regelrechte 
verdeckte Ermittler im Sinne von $$ 110a ff StPO zum Einsatz kommen, 
deren Identität nur der Staatsanwalt und der Richter kennt, der ihren Ein- 


2 Vgl. dazu ausführlich Rost, in diesem Band, S. 62 ff. 
3 Vgl. dazu Hamm, in Sokol (Hrsg.), Datenschutz und Anonymität, Düsseldorf 2000, S. 90 ff. 
4 Dazu Pohl, Informationsbeschaffung beim Mitbürger, Berlin 2003, S. 92f. 
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satz genehmigt hat ($ 110b Abs. 3 StPO). Auch im übrigen Polizeialltag 
spielt Anonymität eine wichtige Rolle, denn bis heute tragen Polizeibeamte 
im Einsatz keine Namensschilder. Bei besonders gefährlichen Einsätzen 
wie z. B. im Rahmen von Sondereinsatzkommandos, vermummen sich 
Polizeibeamte sogar, damit ihre Identität auf keinen Fall aufgedeckt wer- 
den kann und sie sich nicht später Repressionen ausgesetzt sehen. 


Auch in Forschung und Wissenschaft spielt die Anonymität eine herausra- 
gende Rolle. Prüfklausuren und Examina oder sonstige wissenschaftliche 
Begutachtungen werden mit Bedacht so organisiert, dass der Beurteiler 
nicht weiß, wessen Arbeit er vor sich hat. Ohne Zusicherung und effiziente 
Sicherstellung von Anonymität wären viele für die Wissenschaft unbedingt 
notwendige Informationen überhaupt nicht zu erhalten. Es entspricht kei- 
neswegs übertriebener datenschutzrechtlicher Fürsorge, wenn in einigen 
Datenschutzgesetzen vorgeschrieben ist, dass Informationen für wissen- 
schaftliche Zwecke in erster Linie anonymisiert, wo dies nicht möglich ist, 
pseudonymisiert und erst wenn dies nicht möglich ist, unter Einhaltung im 
Einzelnen geregelter datenschutzrechtlicher Standards zur Verfügung zu 
stellen sind (vgl. z. B. $ 22 Abs. 1 LDSG-SH). Und es geht nicht nur um 
den Datenschutz der Krebspatienten, sondern um Erfolg oder Misserfolg- 
des Krebsregisters und damit eines Instruments für die Krebsbekämpfung, 
an das manche große Hoffnungen knüpfen, wenn in den Krebsregisterge- 
setzen Fragen der Anonymisierung und der Pseudonymisierung mit großer 
Sorgfalt geregelt werden?. 


Die Beispiele für sinnvolle Anwendungen der Anonymität in besonderen 
Konstellationen ließen sich fortsetzen, so wie es jedem sicherlich ohne 
Weiteres möglich ist, Situationen zu beschreiben, in denen er froh war, 
nicht namentlich auftreten zu müssen und in denen er auch künftig gerne 
selbst entscheiden möchte, ob er seinen Namen preisgeben will oder 
nicht. Gibt es aber ein Recht, gar ein Grundrecht auf Anonymität? 


2 Spurensuche in den Gesetzen 


In der Rechtsordnung finden sich eine ganze Reihe von Belegen dafür, 
dass die Anonymität eher die Regel, die Identifizierung eher die Ausnahme 
ist. Am deutlichsten tritt dies im Polizeirecht zu Tage, wo die polizeiliche 
Feststellung der Identität ein an bestimmte Tatbestandsvoraussetzungen 
gebundener Vorgang ist. Zwar haben sich im Laufe der Jahre die Ausnah- 
megründe für Identitätsfeststellungen, ausgehend vom Aufenthalt an ge- 
fährdeten Orten über die Einbeziehung „gefährlicher Orte“ bis hin zur 
Schleierfahndung derart breit gemacht, dass man sich fast umgekehrt fra- 
gen könnte, wo und bei welcher Gelegenheit die Polizei eigentlich nicht 
die Identität jedes beliebigen Passanten feststellen darf. Rechtsdogmatisch 
ist es allerdings bis heute beim Regel-Ausnahmeverhältnis geblieben. 


5 Vgl. zu diesen Fragen ausführlich Weichert, in diesem Band, S. 95 ff. 
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Im Wirtschaftsleben hat die Anonymität am ehesten dort Bestand, wo die 
Austauschvorgänge stante pede abgewickelt werden. Wenn bar bezahlt 
wird, genügt es, wenn der Käufer via Quittung weiß, wo und bei wem er 
gekauft hat, damit er eventuelle Gewährleistungsansprüche geltend ma- 
chen kann. Den Verkäufer interessiert nur die Echtheit der Geldscheine, 
nicht die Identität des Käufers. Allerdings beschränken sich die Barkäufe 
zunehmend auf die Alltagsgeschäfte und selbst dort wird immer häufiger 
bargeldlos bezahlt. Wer mit Karte bezahlt, muss seine Identität preisgeben, 
es sei denn, er benutzt eine Guthabenkarte, von der nur abgebucht wird. 
Mehr und mehr verliert der Verbraucher durch die unbaren Zahlungsmittel 
die Möglichkeit, anonym handeln zu können, sieht sich de facto in die 
Rolle von Firmen, Gewerbetreibenden und anderen Leistungsanbietern 
gedrängt, für die schon immer Identifizierungspflichten im Wirtschaftsrecht 
bestanden®. Die Bestimmungen zur Bekämpfung der Geldwäsche sehen 
zudem vor, dass Banken ihre Kunden bei der Kontoeröffnung zuverlässig 
zu identifizieren haben. Das liegt allerdings auch im Interesse der Banken, 
weil sie ihre Neukunden ohnehin mit Hilfe der Schufa gründlich zu durch- 
leuchten pflegen. 


Die Datenschutzgesetze selbst enthalten kein ausdrückliches Recht auf 
Anonymität. Zwar wird das gesamte Datenschutzrecht gelegentlich als 
Verbot der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt 
bezeichnet, sodass die Verarbeitung von personenbezogenen Daten und 
damit, wenn man so will, auch die Feststellung der Identität der besonders 
zu begründende Ausnahmefall ist, aber ein Recht auf Anonymität wird 
daraus, soweit ersichtlich, nicht explizit abgeleitet. Das Thema der Anony- 
mität spielt gleichwohl in den neueren Datenschutzgesetzen eine Rolle. 
Weniger im Sinne eines Rechts jedes Einzelnen, als vielmehr als ein Mittel 
der Gefahrenabwehr. Die Beseitigung des Personenbezugs wird als beson- 
ders wirksame Maßnahme zur Minimierung von Risiken für das Persön- 
lichkeitsrecht angesehen. 


So schreibt Art. 6e der Europäischen Datenschutzrichtlinie die frühestmög- 
liche Anonymisierung von Daten vor, Ähnliches ist in $ 3a Satz 2 BDSG 
geregelt. Mehr noch: $ 3a Satz 1 BDSG verlangt, Gestaltung und Auswahl 
von Datenverarbeitungssystemen von vornherein an dem Ziel auszurich- 
ten, dass keine oder so wenig personenbezogene Daten wie möglich ver- 
arbeitet werden. Die neueren Datenschutzgesetze liefern auch eine Defini- 
tion für das Anonymisieren von Daten ($ 3 Abs. 6 BDSG) und privilegieren 
deren Nutzung, indem sie Anonymität gewissermaßen als Gegenteil von 
Personenbezug oder -beziehbarkeit definieren. Wer von vornherein ano- 
nymisierte Daten verarbeitet oder Daten später anonymisiert, unterliegt 


6 Vgl. dazu den Beitrag von Bizer in diesem Band, S. 78 ff. 
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von Anfang oder von diesem Zeitpunkt an nicht dem Datenschutzrecht, ist 
in der Verarbeitung anonymisierter Informationen also „frei“’. 


Während für das allgemeine Datenschutzrecht Anonymität und Anonymi- 
sierung also Mittel der Gefahrenabwehr sind, nicht ein Recht jedes Einzel- 
nen, geht das Multimediarecht, das die Anbieter eindeutig verpflichtet, die 
anonyme Inanspruchnahme von Leistungen zu ermöglichen ($ 4 Abs., 6 
TDDSG) einen Schritt weiter. Wenngleich der primäre Normadressat die 
Anbieter sind, kann daraus durchaus ein Recht der Nutzer auf anonyme 
Inanspruchnahme von Diensten abgeleitet werden. Dafür spricht auch, 
dass die Nutzer nach $ 4 Abs. 6 Satz 2 TDDSG ausdrücklich über die Mög- 
lichkeit der anonymen Inanspruchnahme von Telediensten zu informieren 
sind. 


Auch in der Rechtsprechung des Bundesverfassungsgerichts findet sich auf 
Anhieb kein allgemeines Recht auf Anonymität. Explizit wird dies in aller 
Regel in besonderen Konstellationen zugestanden, für die zumeist in den 
Entscheidungen auch die Voraussetzungen näher bestimmt sind®. Nur im 
Volkszählungsurteil hat das Gericht die Chance genutzt, außer unmittelbar 
Fallrelevantem allgemein Inhalt und Grenzen des Rechts auf informatio- 
nelle Selbstbestimmung zu bestimmen. Versteht man es mit dem Gericht 
als Befugnis jedes Einzelnen, selbst zu bestimmen, welche Informationen 
er wann und bei welcher Gelegenheit offenbaren möchte, dann ergibt sich 
in Bezug auf die Anonymität allerdings ein ziemlich eindeutiges Bild: In- 
formationelle Selbstbestimmung macht nur Sinn, wenn sie auch dahinge- 
hend ausgeübt werden kann, dass gar keine Daten offenbart werden, auch 
nicht die Identitätsdaten. Unter diesem Blickwinkel ergibt sich zwanglos 
aus dem Recht auf informationelle Selbstbestimmung auch ein Recht auf 
anonymes Auftreten. Das Recht auf Anonymität ist Teil des Rechts auf 
informationelle Selbstbestimmung?. Es unterliegt damit auch dessen 
Einschränkbarkeiten, aber wer anonym bleiben möchte, kann sich grund- 
sätzlich auf Art. 2 Abs. 1 Grundgesetz berufen und es ist Sache der „ande- 
ren Seite“, die Schranken dieses Rechts darzutun. 


Der Befund ist, was das Recht auf Anonymität angeht, also relativ klar. Es 
ergibt sich aus dem Recht auf informationelle Selbstbestimmung und ist im 
Multimediarecht als gesetzlicher Anspruch ausdrücklich normiert. Das all- 
gemeine Datenschutzrecht begreift Anonymität als Daten ohne Personen- 
bezug und fördert folglich die Anonymisierung als ein Mittel der Abwehr 
von Gefahren für das Recht auf informationelle Selbstbestimmung. 


7 Vgl. dazu ausführlich Roßnagel/Scholz, Datenschutz durch Anonymität und Pseudonymität, 
MMR 12/2000, S. 721 ff. 


8 Belege bei Bizer in diesem Band, S. 78 ff. sowie Denninger, S. 41 ff. 


9 Vgl. dazu Denninger in diesem Band, S. 41 ff. sowie Schrader, Stichwort „Recht auf Ano- 
nymität“ in: Bäumler/Breinlinger/Schrader, Datenschutz von A-Z, Stand 2002. 
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Verdrehte Welt im Internet 


Während Anonymität zumindest im Alltagsleben durchaus gelebt werden 
kann, sind die Vorzeichen im Internet genau umgekehrt: Dort wird jede 
Transaktion registriert und unter Umständen an verschiedenen Stellen 
aufgezeichnet. Dies zeigt sich plastisch beim E-Mailverkehr, der lückenlos 
nachvollzogen werden kann, während traditionelle Briefe bei der Post 
keineswegs automatisch registriert werden. Auch der Abruf von Informati- 
onen von Web-Sites hinterlässt sowohl bei diesen als auch bei den Zu- 
gangsprovidern Datenspuren. Nicht nur die Tatsache des Abrufs, sondern 
die näheren Umstände wie der Zeitpunkt, der Referer, d. h. die Seite von 
der man kam, der Clickstream durch das Informationsangebot und damit 
der vermutliche Gedankengang können nachvollzogen werden!®. Der alte 
Menschheitstraum, die Gedanken eines anderen lesen zu können, hat im 
Internet durchaus eine reale Basis. Man stelle sich vor, in der offline-Welt 
käme jemand auf die Idee aufzeichnen zu wollen, wer welche Geschäfte 
besucht, welche Zeitschriften kauft, welche Artikel in welcher Reihenfolge 
und wie gründlich liest usw. Ein absurder Gedanke, gleichwohl im Inter- 
net für manche Politiker offenbar mehr als eine Überlegung wert. 


Ohne Gegenmaßnahmen gibt es im Internet keine Anonymität. Sich nur 
darauf zu verlassen, man werde in der Unmenge von Daten, die im Inter- 
net permanent erzeugt werden, „anonym“ bleiben, ist trügerisch. Da die 
Angriffe auf die Anonymität von verschiedenen Seiten kommen können 
(vom Hacker nebenan bis zum weltweit agierenden Geheimdienst), ist es 
auf Dauer nicht sinnvoll, sich speziell gegen einzelne Angreifer zur Wehr 
zu setzen, sondern von vornherein Anonymität zu gewährleisten. Das hat 
auch der Gesetzgeber erkannt, der im Teledienstedatenschutzgesetz jedem 
das Recht eingeräumt hat, sich anonym durch das Netz zu bewegen. Kein 
Provider darf aufzeichnen, wer was wann im Netz getan hat, wenn dies 
nicht ausnahmsweise für Abrechnungszwecke erforderlich ist!!. Klingt 
nicht nur gut, sondern ist auch ein gutes Datenschutzkonzept. 


Leider halten sich die wenigsten im Internet an diese Spielregeln. Deshalb 
muss das Recht auf Anonymität, das der Gesetzgeber den Internetnutzern 
ausdrücklich zugebilligt hat, in der Rechtswirklichkeit mit aktiven Maß- 
nahmen durchgesetzt werden. Technische Vorkehrungen sind notwendig, 
um das Recht auf Anonymität tatsächlich in Anspruch nehmen zu können. 
Zu den dafür bereitgestellten Instrumenten!? zählt AN.ON, das die TU 
Dresden und das Unabhängige Landeszentrum für Datenschutz gemeinsam 
betreiben!3. AN.ON hilft den Nutzern des Internet, ihren gesetzlichen An- 


10 Zu den Einzelheiten wird auf die Beiträge von Schulzki-Haddouti, S. 139 ff., Krause, S. 158 
ff. und Goltzsch S. 146 ff. verwiesen. 


11 Zum Datenschutz im Medienrecht detaillierter Golembiewski, S. 107 ff. 
12 siehe die Überblicke bei Goltzsch, S. 146 ff. und Krause, S. 158 ff. 
13 Dazu der Beitrag von Federrath, S. 172 ff. 
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spruch auf Anonymität tatsächlich in Anspruch nehmen zu können und ist 
damit ein Instrument zur Durchsetzung von Recht und Gesetz im Internet 
(Sic!). Es ist erstaunlich, dass sich AN.ON gelegentlich skeptischer Kritik 
vonseiten der Polizei ausgesetzt sieht, die für die Wahrung von Sicherheit 
und Ordnung, also für die Durchsetzung des Rechts eigentlich originär 
zuständig ist!*. So sehr haben sich offenbar manche an die bequemen aber 
illegalen Protokolldatensammlungen der Provider gewöhnt, dass sich der- 
jenige in der Kritik sieht, der dem Gesetz zur Durchsetzung verhilft und 
der rechtswidrigen Protokollierung den Boden entzieht. 


4 Zusätzlich Voratsspeicherung? 


Anonymität im Internet ist also zwar gesetzlich rundum garantiert, bedarf 
zur Realisierung aber zusätzlicher technischer Maßnahmen. Durch die 
Förderung des Projektes AN.ON leistet der Staat immerhin einen gewissen 
Beitrag zur Durchsetzung des Rechts im Internet, der aber bei weitem 
noch nicht ausreichend ist. Statt nun über zusätzliche Anstrengungen zur 
Gewährleistung des Rechts auf Anonymität nachzudenken, steuert eine 
Mehrheit im Bundesrat allerdings genau in die entgegengesetzte Richtung. 
Danach sollen die Provider künftig nicht nur berechtigt, sondern im Inte- 
resse von Strafverfolgungsbehörden und Geheimdiensten sogar verpflichtet 
sein, Protokolldaten für einen bestimmten Zeitraum zu speichern!?. Auch 
von europäischer Seite gibt es entsprechende Bestrebungen. Werden sie 
umgesetzt, dann wäre dies das Ende der Anonymität im Internet. 


Würde man die Argumentation, die zugunsten solcher Pläne angeführt 
wird, nämlich man müsse im Nachhinein im Falle von Strafermittlungen 
nachvollziehen können, wer was wann im Netz getan hat, akzeptierten, 
dann könnte man ebenso gut den gesamten Verkehr auf der Autobahn, 
sämtliche konventionellen Briefe, jeden Passanten auf öffentlichen Plätzen, 
jeden Besucher eines Einkaufszentrums, ja eigentlich jegliche menschliche 
Betätigung registrieren. Denn es könnte sich ja durchaus einmal als not- 
wendig erweisen, solche Einzelheiten für die Strafverfolgung rekonstruie- 
ren zu können. 


Was auf den ersten Blick absurd erscheint, liegt in Wirklichkeit ganz in der 
Logik einer Sicherheitspolitik, die jedes Maß zu verlieren droht. Wer ein- 
mal damit begonnen hat, das Verhalten von Menschen, die weder be- 
schuldigt oder verdächtig sind, nur deshalb aufzuzeichnen, weil nicht aus- 
zuschließen ist, dass diese Informationen einmal zur Strafverfolgung benö- 
tigt werden, findet keine logische Grenze mehr. Alles kann für die Straf- 
verfolgung einmal von Bedeutung sein, nichts ist von vornherein auszu- 
schließen. Hier zeigen sich die Folgen der Technisierung und Industriali- 
sierung der sozialen Kontrolle. Egal ob es um Videoaufzeichnungen und 


14 Bundeskriminalamt, Abschlussbericht zum Projekt Strategische Kriminalitätsanalyse im 
Bundeskriminalamt, Wiesbaden 2002, S. 29 ff. 


15 Vgl. BR-Drucksache 275/02. 
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ihre automatisierte Auswertung mit intelligenter Bildsoftware oder eben 
um das Durchkämmen riesiger Protokolldatenbestände mit Hilfe von Da- 
tamining geht: Stets geht es um die Nutzung der Technik für Zwecke der 
sozialen Kontrolle in einem in der konventionellen Welt unvorstellbaren 
Ausmaß. 


Natürlich haben Verdächtige und Beschuldigte keinen Anspruch auf Ano- 
nymität, sie der Anonymität zu entreißen ist geradezu der Sinn strafrechtli- 
cher Ermittlungen. Aber deshalb das Leben aller Menschen lückenlos auf- 
zuzeichnen, damit erfahrungsgemäß zu erwartende Straftaten besser auf- 
geklärt werden können, lässt jedes Maß vermissen und ist im rechtlichen 
Sinne ein Verstoß gegen das Verhältnismäßigkeitsprinzip. Es ist Ausdruck 
einer Denkweise, die jedem Menschen prinzipiell alles zutraut, letztlich 
jeden zum potentiell Verdächtigen macht. Dieses Menschenbild ist dem 
totalitären System Platons näher als dem offenen Gesellschaftsbild des 
Grundgesetzes!®. 


Was von der Anonymität noch übrig ist 


Betrachtet man die Entwicklung von Recht und Technik in den vergange- 
nen Jahrzehnten, dann zeigt sich, dass die Möglichkeiten der Wahrneh- 
mung von Anonymität der Erosion von vielen Seiten ausgesetzt sind. In 
einer Reihe von Rechtsvorschriften wird das Recht auf Anonymität bereits 
eingeschränkt. Sowohl im Wirtschaftsleben als auch im Verhältnis zum 
Staat!’ ist es in vielen Situationen nicht möglich, anonym zu agieren. Selbst 
dort wo Leistungen unmittelbar ausgetauscht werden, erzeugt die zuneh- 
mende Verbreitung der Bezahlung mit Kartensystemen Datenspuren, die 
die Anonymität des Verbrauchers einschränken!®. Ob im E-Commerce auf 
Dauer Anonymität gewährleistet werden kann, hängt nicht nur vom weite- 
ren Schicksal der Bundesratspläne zur Vorratsspeicherung generell, son- 
dern speziell auch davon ab, ob Bezahlvorgänge anonym abgewickelt 
werden können!?. Auch eine Reihe von weiteren technischen Entwicklun- 
gen, z. B. zur Genomanalyse? und zur Biometrie?! lassen für die Wahrung 
von Anonymität nur noch einen schmalen Raum. 


Schon vor Jahren hatten neue Datenbanken wie das Zentrale Verkehrsin- 
formationssystem ZEVIS die Möglichkeiten der heimlichen Identifizierung 
beträchtlich erweitert. Die Polizei ist mit Hilfe von ZEVIS in der Lage, je- 
den Teilnehmer am ruhenden und fließenden Verkehr in Sekunden- 
schnelle mit ziemlicher Sicherheit zu identifizieren. Ähnliches lässt sich 


16 Dazu näher der Beitrag von Dix, S. 52 ff. 

17 Dazu der Beitrag von Gundermann, S. 117 ff. 

18 Dazu ausführlich Bizer, S. 78 ff. 

19 Zum E-Commerce insgesamt vgl. Rohwer, S. 75 ff. 
20 Vgl. Weichert, DuD 2002, S. 133 ff. 

21 Dazu Probst, S. 179 ff. 
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über die technische Entwicklung der Telekommunikation bis hin zur Or- 
tung von Handys und zum Einsatz des IMSI-Catchers sagen. Überall schei- 
nen neue technische Verfahren, wenn schon nicht als Hauptzweck, so 
doch zumindest als Nebeneffekt, die Identifizierung, Ortung, Beobachtung 
und Registrierung von Menschen zu erleichtern, zu verbilligen und zu 
beschleunigen. Fast ist es so, als würde die Entlassung der Menschen in 
die Anonymität nach dem Ende des feudalen Ständestaates durch die Ent- 
wicklung der Technik wieder rückgängig gemacht. Die Moderne, so 
scheint es, läuft Gefahr, ihre eigenen Grundlagen aufzulösen und die Men- 
schen zurück in ein System von Beobachtung und Abhängigkeit zu füh- 
ren22. 


6 Hilfe von der Technik? 


Dass das traditionelle Datenschutzrecht nicht in der Lage war, Freiräume 
für anonymes Handeln zu bewahren, tritt zunehmend deutlich zu Tage. 
Zwar hätte eigentlich der das gesamte Datenschutzrecht bestimmende 
Gedanke der Erforderlichkeit bereits dazu führen müssen, dass das Recht 
auf informationelle Selbstbestimmung in der Ausprägung des Rechts auf 
anonymes Verhalten nur in dem für einen bestimmten Zweck erforderli- 
chen Umfang eingeschränkt wird. Der Grundsatz der Erforderlichkeit setzt 
aber an bestehenden gesetzlichen Aufgaben und an einer existenten tech- 
nischen Infrastruktur an’. Die Gestaltung der Technik selbst war bislang 
noch nicht Gegenstand der Gesetzgebung. 


Dies hat sich mit dem Datenschutz im Multimediarecht und in den Daten- 
schutzgesetzen der 3. Generation geändert. $ 4 Abs. 6 TDDSG schreibt 
nicht nur vor, dass die Diensteanbieter die Inanspruchnahme der Dienste 
auch anonym zu ermöglichen haben. Überdies enthielt $ 3 Abs. 4 des 
TDDSG in der Fassung von 199724 die Verpflichtung, die Gestaltung und 
Auswahl technischer Einrichtungen für Teledienste von vornherein an dem 
Ziel auszurichten, keine oder so wenige personenbezogene Daten wie 
möglich zu erheben, zu verarbeiten und zu nutzen. Diese Bestimmung 
wurde bei der jüngsten Novellierung des Teledienstedatenschutzgesetzes?? 
zwar wieder gestrichen, aber nur deshalb, weil eine inhaltsgleiche Formu- 
lierung inzwischen in das allgemeine, subsidiär auch im Multimediabereich 
geltende Datenschutzrecht eingefügt worden war. Schon $ 4 Abs. 1 LDSG- 
SH26 hatte die Grundsätze der Datenvermeidung und Datensparsamkeit für 
die Daten verarbeitenden Stellen verbindlich gemacht. $ 3a BDSG?’ 
schreibt nunmehr die Grundsätze der Datenvermeidung und Datenspar- 
samkeit auch für die „Gestaltung und Auswahl“ von Datenverarbeitungs- 


22 Vgl. zu diesem Fragenkreis den Beitrag von Rost, S. 62 ff. 


23 Dazu näher Bäumler, Datenvermeidung und Datensparsamkeit, in: Baeriswyl/Rudin, 
Perspektive Datenschutz, Zürich 2002, S. 351 ff. 


24 BGBI I, S. 1870. 

25 V, 14.12.2001, BGBI I, S. 3721. 

26 V. 9.2.2000: GVOBI 4/2000, S. 169. 
27 V. 18.5.2001, BGBI I, S. 904. 
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systemen vor. Außerdem ist von den Möglichkeiten der Anonymisierung 
und Pseudonymisierung Gebrauch zu machen, wenn dies verhältnismäßig 
ist. 


Datenvermeidung und Datensparsamkeit als Mittel zur Verhinderung des 
Entstehens von personenbezogenen Daten sowie Anonymisierung und 
Pseudonymisierung als Mittel der nachträglichen Beseitigung oder Relati- 
vierung des Personenbezugs haben also inzwischen Eingang in die Daten- 
schutzgesetzgebung gefunden. Aber haben sie damit schon Einfluss auf die 
Technikgestaltung gewonnen? Wohl kaum2®. Zumindest drei Gesichts- 
punkte lassen eine unmittelbare Wirkung der zitierten Vorschriften zwei- 
felhaft erscheinen. 


Zum Ersten bietet der Staat für Hersteller und Entwickler ein widersprüch- 
liches Bild: Auf der einen Seite wird der Gedanke der Anonymität zuneh- 
mend in der Gesetzgebung favorisiert, während auf der anderen Seite die 
Sicherheitspolitik die Möglichkeiten der Überwachung permanent forciert 
und in Gestalt der Pläne zur Vorratspeicherung in der Telekommunikation 
und bei den Multimediadiensten eher eine Technikentwicklung in Rich- 
tung Protokollierung statt Datenvermeidung nahe legt. Wofür sollen sich 
Investoren entscheiden, wenn sie neue IT-Systeme designen lassen? 


Zum Zweiten ist nicht ganz klar, wer eigentlich der Adressat von $ 3a 
BDSG ist. Soweit dort die „Gestaltung“ von Datenverarbeitungssystemen 
angesprochen ist, scheinen die Entwickler und Hersteller gemeint zu sein. 
Um sie aber wirklich zu etwas zu verpflichten, müsste die Norm viel kon- 
kreter gefasst sein. Soweit die „Auswahl“ von Datenverarbeitungssystemen 
adressiert ist, könnten die Anwender gemeint sein, aber auch hier gilt das 
oben Gesagte. Die Norm ist weder bestimmt genug in dem was sie mögli- 
cherweise von Entwicklern, Herstellern und Anwendern verlangt, noch 
besagt sie etwas darüber, was die Folgen sind, wenn die Grundsätze von 
Datenvermeidung und Datensparsamkeit bei der Produktauswahl nicht 
beachtet werden. Weder wird offensichtlich die Datenverarbeitung rechts- 
widrig, wenn sie auf einem System betrieben wird, das die Grundsätze der 
Datensparsamkeit nicht beachtet, noch hat ein Hersteller irgendwelche 
Nachteile zu erwarten, wenn seine Produkte nicht diesen Ansprüchen 
genügen. $ 3a BDSG erweist sich als bloßer Appell, der umso wirklungslo- 
ser sein dürfte, je penetranter auf der anderen Seite die Sicherheitspolitik 
die gegenteiligen Signale aussendet. 


Fehlt es also an irgendwelchen Möglichkeiten zur Durchsetzung von Da- 
tenvermeidung und Datensparsamkeit, so mangelt es drittens an Anreizen, 
die Entwickler und Hersteller dazu bewegen könnten, Produkte entspre- 
chend zu designen. Solche Anreize könnten beispielsweise Audits und 
Gütesiegel sein, die es den Anbietern ermöglichen könnten, Marktvorteile 
mit datenschutzfördernden Produkten zu erlangen. Hier ist das BDSG in 
$ 9a auf halbem Weg stehen geblieben. Diese Bestimmung hat das Daten- 
schutzaudit als Instrument in das Bundesdatenschutzgesetz eingeführt, 
seine tatsächliche Etablierung auf dem Markt aber zugleich wieder blo- 
ckiert, indem es alles Weitere einem Ausführungsgesetz überantwortet hat, 


28 Vgl. auch Roßnagel/Scholz, oben FN 7, S. 731. 
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für das bis heute noch nicht einmal ein Entwurf existiert. Bislang hat le- 
diglich das Land Schleswig-Holstein im Alleingang Audit und Gütesiegel 
vollständig geregelt und zwischenzeitlich positive Erfahrungen damit ge- 
sammelt??. 


7 Fazit 


So schließt sich denn ein verhängnisvoller Kreis. Das dem Grunde nach 
aus dem Recht auf informationelle Selbstbestimmung ableitbare Recht auf 
Anonymität ist an vielen Stellen rechtlich und faktisch wirkungslos. Im 
Internet ist es ohne technische Schutzmaßnahmen sogar weitgehend auf- 
gehoben. Der Staat sendet widersprüchliche Signale, wenn er auf der ei- 
nen Seite das Recht auf Anonymität im Multimediarecht und zunehmend 
auch im allgemeinen Datenschutzrecht fördert, andererseits aber im Inte- 
resse der Inneren Sicherheit immer mehr Überwachungs-, Kontroll- und 
Aufzeichnungsvorgänge schafft. Anonymität braucht die Unterstützung der 
Informationstechnik, die von den Datenschutzgesetzen neuerdings auch 
explizit eingefordert wird. Ein datenschutzgerechtes Technikdesign wird 
von Gesetzes wegen außer in Schleswig-Holstein bislang aber weder 
durchgesetzt noch mit Anreizen gefördert. So bleibt alles in allem in Bezug 
auf das Recht auf Anonymität eine unbefriedigende Situation der Unent- 
schiedenheit. Schon der nächste größere Terroranschlag kann die Bedin- 
gungen für Anonymität weiter nachhaltig verschlechtern. Es sei denn, die 
Bürger fordern ihr Recht auf Anonymität nachhaltiger ein als bisher. 


29 Dazu grundlegend die Beiträge von Roßnagel, S. 115ff, Golembiewski, S. 107ff, Diek, S. 
157ff sowie Hansen/Probst, S. 163ff in: Bäumler (Hrsg.), Datenschutz als Wettbewerbsvorteil, 
Braunschweig 2002. 


Anonymität als Element des allgemeinen Persönlichkeitsrechts - 
terminologische, rechtssystematische und normstrukturelle 
Grundfragen 


Professor Dr. Albert von Mutius 


1 Einführung: Zur Notwendigkeit grundrechtsdogmatischer Klarheit 


1.1 Derzeitiger Erkenntnisstand 


Wer sich wissenschaftlich generell oder in der Praxis der Normsetzung, 
Normanwendung und Rechtskontrolle anhand streitiger Einzelfälle vor die 
Frage gestellt sieht, ob es ein subjektives Recht auf Anonymität von Verfas- 
sungs wegen gibt, wie es dogmatisch zu begründen, abzugrenzen und 
zulässigerweise zu beschränken ist, gelangt rasch zu einem erstaunlichen 
Befund: Expressis verbis findet sich, von ganz wenigen Andeutungen in 
speziellen Fachbeiträgen abgesehen!, in den einschlägigen Hand- und 
Lehrbüchern des Staats- und Verfassungsrechts oder des Medien- und 
Kommunikationsrechts keine Auseinandersetzung über die Existenz, Be- 
gründung und Begrenzung eines derartigen Rechts. Um so überraschender 
war es dann, dass sich die Teilnehmer der in diesem Band zumindest par- 
tiell dokumentierten Sommerakademie 2002 in der Diskussion relativ rasch 
auf die Existenz eines verfassungsrechtlich anerkannten und damit norma- 
tiv verbindlichen Rechts auf Anonymität verständigt haben?. Bei genauer 
Analyse enthält dieser Grundkonsens erhebliche Divergenzen im Detail: 
Das Recht auf Anonymität wird u.a. als nahezu selbstverständlicher Be- 
standteil des Rechts auf informationelle Selbstbestimmung begriffen?; an- 
dere definieren es als notwendiges Element informationeller Privatheit‘ 
oder auf der Grundlage einer kommunikationstheoretischen Deutung des 
allgemeinen Persönlichkeitsrechts als grundlegendes Prinzip einer freiheit- 
lichen Kommunikationsverfassung?; wiederum andere verorten das Recht 
auf Anonymität im allgemeinen Persönlichkeitsrecht gem. Art. 2 Abs. 1 GG 
i.V.m. Art. 1 Abs. 1 GG®. Selbst wenn diese Versuche rechtssystematischer 


l Einen solchen Fachbeitrag zum Presserecht liefert etwa Münch, AfP 2002, S. 18 (19 f.); vgl. 
auch BGH, NJW 1988, S. 1984 und NJW 1991, S. 1532; LG Berlin 1988, S. 418 (4190). 


2 Vgl. die Wiedergabe der Ergebnisse der Podiumsdiskussion durch Bökel, in diesem Band, 
S. 191 ff. 


3 So etwa Bäumler, in diesem Band, S. 1 ff. 

4 So etwa Rössler, in diesem Band, S. 27 ff. 

5 So Bizer, in diesem Band, S. 78 ff. 

6 So etwa Denninger, in diesem Band, S. 41 ff. 


H. Da umler et al. eads. j), Anonymität ım Internet 
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Einordnung sich nur in Nuancen voneinander unterscheiden, so sind die 
daran anknüpfenden Folgeprobleme in ihrer rechtspraktischen Relevanz 
doch von erheblicher Bedeutung. Dies gilt sowohl für die Frage, ob ein 
Recht auf Anonymität auf den Bereich der Information und Kommunika- 
tion beschränkt ist, inwieweit Anonymität notwendige Voraussetzung per- 
sönlicher Integrität, Selbstbestimmung und sozialer Entfaltung darstellt und 
welche Anforderungen von Verfassungs wegen an die vielfältig vorhande- 
nen und auch notwendigen Einschränkungen von Anonymität zu stellen 
sind. Hierzu haben die Referate und Diskussionsbeiträge auf der Sommer- 
akademie 2002 erste wichtige Erkenntnisse geliefert; die notwendige ter- 
minologische, rechtssystematische und normstrukturelle Analyse im Ein- 
zelnen einschließlich notwendiger Differenzierungen auf den unterschied- 
lichen Ebenen der Normgeltung steht im Hinblick auf die durch moderne 
Technik ermöglichten Gefährdungen individueller Privatheit allerdings 
noch bevor. 


Zu den Gründen für rechtsdogmatische Unsicherheiten 


Ein generelles, grundsätzlich jedem Individuum von Verfassungs wegen 
zustehendes subjektiv-öffentliches Recht auf Anonymität kann, da sich 
ausdrückliche Anhaltspunkte weder im Grundgesetz noch in der Europäi- 
schen Menschenrechtskonvention’ finden, nach Inhalt und Schutzbedürf- 
nis (dazu unten) nur im unmittelbaren Umfeld des allgemeinen Persön- 
lichkeitsrechts in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG bzw. Art. 8 Abs. 1 
EMRK angesiedelt werden. Insoweit begegnet die normative Entwicklung 
eines allgemeinen Rechts auf Anonymität den gleichen rechtssystemati- 
schen und methodologischen Schwierigkeiten, die die Rechtsprechung des 
Bundesverfassungsgerichts® sowie die Staatsrechtswissenschaft? zum Nach- 
weis eines allgemeinen Persönlichkeitsrechts zu bewältigen hatte: Bekannt- 
lich begreift das Bundesverfassungsgericht — und ihm folgt die herrschende 
Meinung im Schrifttum — das allgemeine Persönlichkeitsrecht als sog. „un- 
benanntes“ Freiheitsrecht!®. Es ergänze ohne entsprechende textliche Aus- 
prägungen in Art. 2 Abs. 1 GG die speziellen („benannten“) Freiheits- 
rechte, die, wie etwa die Gewissens- oder Meinungsfreiheit, ebenfalls kon- 


7 Dazu statt vieler im Blick auf den Schutz des Privatlebens in Art. 8 Abs. 1 EMRK Uerpmann, 
in: Ehlers (Hrsg.), Europäische Grundrechte und Grundfreiheiten, 2003, S. 48 ff. 


8 BVerfGE 54, 148 (152); 35, 202 (219); 72, 155 (170); 79, 263 (270); 82, 236 (269); 90, 263 
(270); 96, 56 (61). 


9 Statt vieler Schmitt Glaeser, in: Isensee/Kirchhof (Hrsg.), Handbuch des Staatsrechts Band 
VI, $ 129 Rdn. 27 ff.; Erichsen, daselbst, $ 152, Rdn. 52 ff.; Starck, in: von Man- 
goldt/Klein/Starck, GG Band 1, 4. Aufl. 1999, Art. 2 Abs. 1 Rdn. 14 ff.; Hillgruber, in: Um- 
bach/Clemens (Hrsg.), Grundgesetz-Mitarbeiter-Kommentar, Band 1, 2002, Art. 2 Abs. 1 Rdn. 
45 ff.; Dreier, in: ders. (Hrsg.), Grundgesetz-Kommentar Band 1, Art. 2 Abs. 1 Rdn. 50 ff.; 
Kunig, in: von Münch/Kunig (Hrsg.), Grundgesetz-Kommentar Band 1, 5. Aufl. 2000, Art. 2 
Rdn. 30 ff.; H. Klein, in: Evangelisches Staatslexikon Band 2, 3. Aufl., Spalte 2467 ff.; Jarass, 
in: ders./Pieroth, Grundgesetz, 6. Aufl. 2002, Art. 2 Rdn. 28 ff.; Murswiek, in: Sachs (Hrsg.), 
Grundgesetz-Kommentar, 3. Aufl. 2003, Art. 2 Rdn. 59 ff., 121 ff., jeweils mit um- 
fangr.Nachw. 


10 Dazu BVerfGE 54, 148 (153); 72, 155 (170); vgl. W. Schmidt, AöR Band 91 (1966), S. 43, 77 
ff.; Rohlf, Privatsphäre, 1980, S. 193 f. 


14 


1.3 


1 Einleitung 


stituierende Elemente der Persönlichkeit schützen. Seine Funktion bestehe 
darin, im Sinne des obersten Konstitutionsprinzips der „Würde des Men- 
schen“ (Art. 1 Abs. 1 GG) die engere persönliche Lebenssphäre und die 
Erhaltung ihrer Grundbedingungen zu gewährleisten, die sich durch die 
traditionellen konkreten Freiheitsgarantien nicht abschließend erfassen 
lassen. Die Notwendigkeit des Schutzes bestehe namentlich auch im Hin- 
blick auf moderne Entwicklungen und die mit ihnen verbundenen neuen 
Gefährdungen etwa im Bereich der Gentechnik oder der Informations- 
sowie Kommunikationstechnik für den Schutz der menschlichen Persön- 
lichkeit. So gesehen hat sich der verfassungsrechtliche Schutz des allge- 
meinen Persönlichkeitsrechts fallspezifiscb und damit kasuistisch heraus- 
gebildet!!. Dies hat zwei Konsequenzen: Zum einen hat die Recht- 
sprechung des Bundesverfassungsgerichts stets vermieden, den Inhalt des 
geschützten Rechts abschließend zu umschreiben!?; zum anderen ist die 
weitere Ausprägung des Persönlichkeitsrechts und seiner Schutzwirkungen 
in den einzelnen Persönlichkeitssphären und sozialen Dimensionen Folge 
neuer Gefährdungslagen. Dieses entspricht der historischen Entstehung 
und weiteren Ausformung positivierter Grund- und Freiheitsrechte. Sie sind 
im Kern Antworten bzw. Reaktionen des demokratischen und sozialen 
Verfassungsstaates auf Beeinträchtigungen und Gefährdungen individueller 
oder gruppenbezogener Freiheit. 


Für das Bedürfnis nach Schutz individueller Anonymität bedeutet dies: Je 
mehr im Zusammenhang mit technischen Entwicklungen und damit ver- 
bundenen Risiken (z.B. Videoüberwachung, globale Angebote von Tele- 
bzw. Mediendiensten, Erfassung und Verarbeitung von Patientendaten im 
medizinischen Bereich usw.) der Einzelne in seiner Privatsphäre nur dann 
geschützt werden kann, wenn und soweit er insgesamt unerkannt bleibt, 
entsteht in Konkretisierung und Aktualisierung des allgemeinen Persön- 
lichkeitsrechts in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG die Notwendigkeit, 
zusätzliche neue Abwehrrechte und Schutzpflichten zu entwickeln. Vor 


-diesem Hintergrund wird verständlich, dass rechtsdogmatische Unsicher- 


heiten beim Nachweis und der normativen Ableitung eines allgemeinen 
Rechts auf Anonymität noch vorhanden sind, weil sich erst im Umgang mit 
neuen technischen Möglichkeiten das Bewusstsein für diesen Schutzbedarf 
herausbildet. 


Relevanz rechtsnormativer Ableitung und rechtssystematischer 
Präzisierung des Rechts auf Anonymität 


Die auf der Grundlage der Rechtsprechung des Bundesverfassungsgerichts 
sicherlich begrüßenswerte grundsätzliche Offenbeit des allgemeinen Per- 
sönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG als sog. „unbe- 
nanntes Grundrecht“ für freiheitssichernde Reaktionen auf neue Gefähr- 
dungslagen entbindet allerdings nicht davon, in dem Maße, in dem diese 


11 Schmitt Glaeser, Handbuch des Staatsrechts VI, § 129 Rdn. 28 f. mit weit. Nachw.; Stern, 
Staatsrecht Band III/1, § 66 3 c. 


12 Vgl. zuletzt BVerfGE 96, 56 (61) ; 96, 171 (181). 
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2.1 


Gefährdungen erkannt und abgeschätzt werden können, die rechtsnorma- 
tive Entwicklung und Eingrenzung eines allgemeinen subjektiv-Ööffentlichen 
Rechts auf Anonymität vorzunehmen. Denn beides ist entscheidend für 
eine Vielzahl im Einzelfall zu lösender Rechtsfragen: Wie sind Inhalt und 
Wirkungsweise eines derartigen Rechts normativ zu bestimmen und von 
anderen grundrechtlichen Gewährleistungen abzugrenzen? Auf welche 
Beeinträchtigungen / Eingriffe muss reagiert werden? Wie lassen sich sol- 
che generellen oder im Einzelfall nachweisbaren Eingriffe verfassungs- 
rechtlich rechtfertigen? Wo sind gem. Art. 19 Abs. 2 GG verfassungsrechtli- 
che Grenzen der Beschränkbarkeit eines Rechts auf Anonymität zu ziehen? 
Und welcher Personenkreis schließlich nimmt teil an den Schutzwirkungen 
einer verfassungsrechtlich gewährleisteten Anonymität? 


Grundrechtssystematische Verortung: Anonymität als Element des 
allgemeinen Persönlichkeitsrechts 


Tatsächlicher Inhalt und Dimensionen (Schutzbedürfnis) 


Das aus den angedeuteten Gefährdungslagen folgende grundrechtliche 
Schutzbedürfnis bestimmt den wesentlichen Inhalt, das Ausmaß und die 
Wirkungen eines zu entwickelnden Rechts auf Anonymität. Umfassend 
verstanden, bedeutet Anonymität zunächst, dass das Individuum mit allen 
denkbaren sozialen Dimensionen - in den Bereichen Information und 
Kommunikation, in sonstigen zwischenmenschlichen Interaktionen, in 
geistig-seelischen Beziehungen, in allen der Selbstbestimmung, Selbstbe- 
wahrung und Selbstdarstellung dienenden Verhaltens- und Handlungswei- 
sen — aufgrund autonomer Entscheidung grundsätzlich unerkannt, also 
nicht identifizierbar bleiben muss!3. In diesem Sinne bedeutet Anonymi- 
tät, wie Denninger zutreffend beschreibt!*, auch Freiheit von bzw. Bewah- 
rung vor Herrschaft und Abwehr normativer Herrschaftsansprüche. Der 
individuell gebotene Freiheitsschutz zielt insoweit auf einen unteilbaren 
umfassenden Schutz der Privatsphäre auch gegenüber Gefährdungen 
durch Rasterfahndung, Videoüberwachung, durch Möglichkeiten der Gen- 
technik verbesserte und erweiterte Fahndungsmethoden zur Identifizierung 
von Personen!? usw. 


Folgt man diesem umfassenden Verständnis des freiheitsrechtlich gebote- 
nen Schutzes, dann ist das zu entwickelnde subjektiv-Ööffentliche Recht auf 
Anonymität nicht begrenzt auf den Bereich neuer Informations- und 


13 Vgl. Denninger, in diesem Band S. 41 ff.; Bizer, in diesem Band S. 78 ff.; Dix, in diesem 
Band S. 52 ff.; Rössler, in diesem Band S. 27 ff.; Weichert, in diesem Band S. 95 ff. 


14 In diesem Band, S. 41 ff. 


15 Dazu z.B. Reich, Die Aufklärung des Human-Genoms und ihren menschen- und bürger- 
rechtlichen Folgen, in: von Arnim/Deile u.a. (Hrsg.), Jahrbuch Menschenrechte 2003, 2002, S. 
109 ff. 
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1 Einleitung 


Kommunikationstechnologien!®, es sei denn, man geht von einem Kom- 
munikationsbegriff aus, der alle Bezüge des Individuums zu Dritten und 
zur Öffentlichkeit insgesamt einschließt. Diese Weiterung erscheint im 
Blick auf die Präzisierung von denkbaren Grundrechtseingriffen und den 
Anforderungen ihrer Rechtfertigung wenig sinnvoll. Zugleich wird an dem 
umfassenden Verständnis von Inhalt und Wirkungsweise eines Rechts auf 
Anonymität deutlich, dass es von den einzelnen im Gesamtbereich des 
allgemeinen Persönlichkeitsrechts von der Rechtsprechung entwickelten 
Teilrechten allenfalls partiell, nicht aber insgesamt erfasst wird: So bedarf 
es etwa eines Rechts am eigenen Bild!” oder eines Rechts am eigenen 
Wort! oder auch eines weitreichenden Rechts auf informationelle Selbst- 
bestimmung!? auch dann, wenn die Identifizierbarkeit des betroffenen 
Individuums fest- bzw. außer Frage steht. Ein umfassendes allgemeines 
Recht auf Anonymität ist daher jenen Teilrechten des allgemeinen Persön- 
lichkeitsrechts gewissermaßen vorgelagert,; es wirkt damit zugleich umfas- 
sender und effektiver. Dies ist der Grund, weshalb das geltende Daten- 
schutzrecht (vgl. $ 3 a S. 2 BDSG) in Konkretisierung geltenden Ver- 
fassungsrechts?", insbesondere zu einem möglichst effizienten Schutz etwa 
vor der Erstellung von Persönlichkeitsprofilen eine möglichst frühzeitige 
Anonymisierung personenbezogener Daten verlangt. Aber auch diese 
Bestimmung setzt logisch voraus, dass die zunächst erfassten Daten eine 
Identifizierung der betreffenden Person an sich ermöglichen. Sollte sich 
daher in der kasuistisch orientierten Rechtsprechung des Bundesverfas- 
sungsgerichts sowie des Bundesgerichtshofes im Blick auf bestimmte Ge- 
fährdungslagen die Anerkennung eines allgemeinen Rechts auf Anonymität 
durchsetzen, so kann dies m.E. nicht an den bisher entwickelten Teilrech- 
ten des allgemeinen Persönlichkeitsrechts „festgemacht“ werden, sondern 
es ist selbständig neben diesen Teilrechten als eine weitere Ausprägung 
des allgemeinen Persönlichkeitsrechts zu verstehen. 


Nur klarstellend ist zudem auf folgendes hinzuweisen: Die in § 3 a S. 2 
BDSG aus Gründen des verfassungsrechtlichen Übermaßverbotes ebenfalls 
gebotene Pflicht, Möglichkeiten der Pseudonymisierung zu nutzen?!, ge- 
nügt den Anforderungen eines umfassenden Persönlichkeitsschutzes durch 
Anonymität nicht; denn ein solches Recht beinhaltet, dass Bürgerinnen und 
Bürger untereinander erkennbar unter einem angenommenen Namen so- 
zial- und rechtsgeschäftlich interagieren und insoweit nur ein begrenzter 


16 So aber insbes. Bizer, in diesem Band S. 78 ff.; vgl. auch die Darstellung der Diskussi- 
onsergebnisse bei Bökel, in diesem Band S. 191 ff. 


17 Vgl. BVerfGE 34, 238 (246); 35, 202 (224); 54, 148 (154); 87, 334 (340). 


18 Vgl. BVerfGE 34, 238 (246); 54, 208 (217); 82, 236 (269); BVerfG (3. Kammer des 1. Se- 
nats), NJW 1992, 815 


19 Vgl. grundlegend Simitis, NJW 1984, 398 ff.; B. Schlink, Der Staat Band 25 (1986), S. 233 
ff.; Schmitt Glaeser, in: Handbuch des Staatsrechts Band VI, $ 129 Rdn. 95 ff.; Dreier, in: 
ders., Grundgesetz-Kommentar Band 1, Rdn. 52, jeweils mit weit. Nachw. 


20 So schon BVerfGE 27, 1 (7); 65, 1 (49 £.). 
21 Dazu etwa Rossnagel/Scholz, MMR 2000, S. 721 (723 ff.). 
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2.2 


Schutz davor besteht, dass Sicherheitsbehörden sowie Vertragspartner oder 
geschädigte Dritte einen Zugriff auf das unter einem Pseudonym operie- 
rende Individuum erhalten. 


Rechtsnormative Ableitung/maßgebliche Rechtsgrundlagen 


Ausgehend von der bisherigen Entwicklung der Rechtsprechung des Bun- 
desverfassungsgerichts und des Bundesgerichtshofes müsste demzufolge 
ein allgemeines subjektiv-Öffentliches Recht auf Anonymität individualer 
Rechtspersonen aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG im Wege 
richterlicher Rechtsfortbildung abgeleitet werden, und zwar als „selbständi- 
ges Teilrecht‘ des bereits anerkannten, aber inhaltlich nicht definitiv be- 
grenzten allgemeinen Persönlichkeitsrechts. Dass dies unter Heranziehung 
des Art. 1 Abs. 1 GG (in Verbindung mit) zu erfolgen hat, bedeutet nicht, 
dass die Menschenwürdegarantie als eigenständiges Grundrecht Prüfungs- 
maßstab für etwaige Gefährdungen wird2?. Vielmehr wird das hinter der 
Menschenwürdegarantie stehende Menschenbild zur Auslegung auch die- 
ses Teilrechts des allgemeinen Persönlichkeitsrechts herangezogen und 
damit gerade im Blick auf die in Art. 2 Abs. 1 GG relativ weit gefassten 
Grundrechtsschranken in seinen Schutzwirkungen materiell verstärkt. 


Eine weitere Rechtsgrundlage findet sich in Art. & Abs. 1 EMRK insoweit, 
als hierdurch für den gesamten Geltungsbereich der Europäischen Men- 
schenrechtskonvention ein umfassender Schutz des Privatlebens normiert 
wird2*. Der Begriff des Privatlebens ist weit zu verstehen. Er umfasst nicht 
nur einen inneren Bereich menschlichen Daseins, sondern auch die sozia- 
len Beziehungen, also den Kontakt zur Außenwelt, soweit es insoweit 
nicht um die Ausübung oder Wahrnehmung eines öffentlichen Amtes geht. 
Auch die Interpretation und Konkretisierung des Schutzes des Privatlebens 
i.S.d. Art. 8 Abs. 1 EMRK in der Rechtsprechung des EGMR wird kasuis- 
tisch im Sinne der Lehre von „unbenannten Freiheitsrechten“ entwickelt. 
Während unter dem Grundgesetz das allgemeine Persönlichkeitsrecht i.S.d. 
Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG Prominente vor dem aufdringli- 
chen Zugriff durch Presse und sonstige Medien schützt??, greift konventi- 
onsrechtlich Art. 8 Abs. 1 EMRK mit seiner Garantie des Rechts auf Ach- 
tung des Privatlebens ein?ô. Vor diesem Hintergrund ist davon auszuge- 
hen, dass sich die Anerkennung eines Rechts auf Anonymität im Wege 
richterlicher Rechtsfortbildung in Deutschland auch in der europäischen 
Rechtsprechung auf Dauer durchsetzen kann. 


22 Vgl. hierzu auch Bizer, in diesem Band S. 78 ff. 


23 Dreier, in: ders. (Hrsg.), Grundgesetz-Kommentar Band I, Art. 2 Abs. 1 Rdn. 50; Starck, in: 
von Mangoldt/Klein/Starck, GG Band 1, 4. Aufl., Art. 2 Abs. 1 Rdn. 15; Hillgruber, in: Um- 
bach/Clemens (Hrsg.), Grundgesetz, Mitarbeiter-Kommentar Band I, Art. 2 Abs. 1 Rdn. 45. 


24 EGMR, NJW 1993, 718; Kunig, JK (Rechtsprechungskartei der Zeitschrift Jura) 93, EMRK 
Art. 8/1; Mock, RUDH 1998, 237 (239). 


25 BVerfGE 73, 118 (201); 97, 125 (146) 
26 EGMR, HRLJ Band 21 (2000), S. 221, Rdn. 65. 
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2.3 


2.3.1 


1 Einleitung 


Ein- und Abgrenzungen (Präzisierung des Schutzbereichs) 


Zur Präzisierung der Schutz- oder Normbereichsgrenzen eines allgemeinen 
subjektiv-Öffentlichen Rechts auf Anonymität als Element (selbständiges 
Teilrecht) des allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1 i.V.m. 
1 Abs. 1 GG ist es erforderlich, sich die beiden unterschiedlichen norm- 
strukturellen Ansätze zu vergegenwäfrtigen, die die Entwicklung des allge- 
meinen Persönlichkeitsrechts in der Rechtsprechung des Bundesverfas- 
sungsgerichts und zum Teil auch des Bundesgerichtshofs im Wege richter- 
licher Rechtsfortbildung bestimmt haben: 


Bereichsspezifischer Ansatz 


Wie auch bei sonstigen „benannten“ Grundrechten hat sich die Ausfäche- 
rung des allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1 i.V.m. 1 
Abs. 1 GG bereichsspezifisch in der Kasuistik der Rechtsprechung entwi- 
ckelt. Hier ist zunächst zu nennen der verfassungsrechtliche Schutz vor 
staatlichem Eindringen in die Privat- und Intimsphäre, welcher eine um- 
fassende Einsichtnahme in die persönlichen Verhältnisse der Bürgerinnen 
und Bürger verbietet, dem einzelnen Individuum um der Entfaltung seiner 
Persönlichkeit Willen einen „Innenraum“ belässt und ihm insoweit das 
Recht gewährt, sich in diesen Bereich zurückziehen zu können, der Um- 
welt den Zutritt zu verwehren, also in Ruhe gelassen zu werden und ein 
Recht auf Einsamkeit zu genießen?’. Dieser Intim- und Sexualbereich steht 
als Teil der engeren, persönlichen Lebenssphäre vor allem unter dem ver- 
fassungsrechtlichen Schutz des Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG28, 
insoweit sichern diese Bestimmungen des Grundgesetzes dem Individuum, 
seine Einstellung zur Geschlechtigkeit selbst zu bestimmen, den Personen- 
stand demgemäß zu ordnen“? und seine persönlichen Lebensverhältnisse 
entsprechend zu gestalten®®. 


Ferner erfasst das allgemeine Persönlichkeitsrecht den Schutz der privaten 
Geheimnissphäre, aus dem Gedanken der Selbstbestimmung folgt allge- 
mein die Befugnis des Einzelnen, grundsätzlich selbst zu bestimmen, wann 
und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart 
werden?!. Hierzu gehört zunächst einmal und vor allem das bereits er- 
wähnte Grundrecht auf „informationelle Selbstbestimmung“, demzufolge 
der Einzelne befugt ist, grundsätzlich selbst über die Preisgabe und Ver- 
wendung seiner persönlichen Daten zu verfügen??. Insbesondere aus dem 
daraus entwickelten absoluten Schutz vor einer „Enipersönlichung“ folgt 
die verfassungsrechtliche Unzumutbarkeit der Weitergabe von Informatio- 


27 BVerfGE 27, 1 (6); 35, 202 (220); 44, 197 (203) 


28 BVerfGE 6, 389 (432); 47, 46 (73); 60, 123 (134); 88, 87 (97): 89, 69 (82 f.); 96, 56 (61); 
101, 361 (382) 


29 BVerfGE 49, 286 (298) 
30 BVerfGE 76, 1 (61) 
31 BVerfGE 65, 1 (42); 80, 367 (373). 101, 361 (382) 


32 BVerfGE 57, 170 (182 ff., 201 f.); 65, 1 (43); 67, 100 (143); 76, 363 (388); 77, 1 (46); 84, 
239 (279 £.); 93, 181 (187) 
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nen streng persönlichen Charakters’. Im Hinblick auf das durch die Fort- 
entwicklung der Informations- und Kommunikationstechnologie gestei- 
gerte Gefahrenpotential haben sich in der Rechtsprechung weitere Präzi- 
sierungen ergeben: So etwa das Gebot, Schutz persönlicher Daten durch 
organisatorische und verfahrensrechtliche Vorkehrungen zu erreichen®%, 
das Verbot der Zweckentfremdung bzw. dysfunktionaler Informa- 
tionsweitergabe?>, das Erfordernis bereichsspezifischer, hinreichend be- 
stimmter gesetzlicher Regelungen über die Zulässigkeitsvoraussetzungen 
und Grenzen des darin liegenden Informationseingriffs, das Gebot der 
Anonymisierung persönlicher Daten insbesondere bei Erhebung und Ver- 
arbeitung von Daten für statistische Zwecke3®, das Recht des Steuerpflich- 
tigen auf Wahrung des Steuergeheimnisses gemäß $ 80 AO?’, der Schutz 
vor der Erhebung und Weitergabe von höchst persönlichen Befunden über 
den Gesundheitszustand, die seelische Verfassung und den Charakter des 
Einzelnen (z. B: öffentliche Bekanntmachung der Entmündigung wegen 
Verschwendung oder Trinksucht)?® und schließlich die Erkenntnis, dass 
der Persönlichkeitsschutz um so intensiver wird, je näher die Daten der 
Intimsphäre des Betroffenen stehen, der als unantastbarer Bereich privater 
Lebensgestaltung im Hinblick auf die Garantie der Menschenwürde in Art. 
1 Abs. 1 GG und den Wesensgehalt der allgemeinen Freiheitsrechte (Art. 2 
Abs. 1 i.V.m. Art. 19 Abs. 2 GG) gegenüber staatlichen Zu- und Eingriffen 
gänzlich entzogen ist??. Lediglich gewisse, den Grundsatz der Verhältnis- 
mäßigkeit wahrende „Erforschungseingriffe“ muss der Betroffene auch 
insoweit dulden®®. 


Ferner hat die Rechtsprechung etwa für das Insolvenzverfahren und für 
den Strafprozess aus dem allgemeinen Persönlichkeitsrecht ein Verbot 
entwickelt, den Einzelnen durch staatlichen Zwang zur Selbstbezichtigung 
zu veranlassen, bzw. entsprechende Auskünfte zu erteilen®1; geschieht dies 


gleichwohl, so kann dies zu einem strafprozessualen Verwertungsverbot 
führen. 


33 BVerfGE 65, 1 (46); 67, 100 (144); 76, 363 (388); 77, 1 (47) 
34 BVerfGE 65, 1 (44) 


35 Vgl. Sondervotum Hirsch zu BVerfGE 57, 170 (201 f.); Sondervotum J. Rottmann zu 
BVerfGE 55, 274 (331 ff., 340 f.); Sondervotum H. Heußner zu BVerfGE 56, 37 (52 f.) 

36 BVerfGE 27, 1 (7); 65, 1 (49 f.) 

37 BVerfGE 67, 100 (142 £.); 76, 363 (388); s.a. BVerfGE 84, 239 (280 f.) 

38 BVerfGE 32, 373 (378 ff.); 44, 353 (372 f.); 78, 77 (84); 84, 192 (194 f.); 89, 69 (82) sowie 
BVerfGE 84, 192 (194 f.) 


39 BVerfGE 27, 1 (6 f.); 27, 344 (350 f.): Scheidungsakten; BVerfGE 32, 373 (378 f.): Arztkar- 
tei; BVerfGE 33, 367 (376): Vorenthaltung eines Zeugnisverweigerungsrechts für Sozialarbei - 
ter; BVerfGE 34, 238 (245): Heimliche Tonbandaufnahme; BVerfGE 44, 353 (372 f.): Klienten - 
akten einer suchtkranken Beratungsstelle; BVerfGE 80, 367 (373): Verwertbarkeit tagebuchar- 
tiger Aufzeichnungen des Beschuldigten im Strafverfahren; BVerfGE 89, 69 (82 f.): Medizi- 
nisch-psychologisches Gutachten über die Eignung zum Führen von Kraftfahrzeugen 

40 BVerfGE 27,1 (7 £.); 27, 344 (351 f.); 33, 367 (376 f.); 34, 238 (246); 44, 353 (373) 

#1 BVerfGE 56, 37 (41 f., 49 f) 


42 BVerfGE 95, 220 (241); 96, 171 (181) 
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1 Einleitung 


Ferner gewährt das verfassungsrechtlich geschützte allgemeine Persönlich- 
keitsrecht ein subjektives Recht am eigenen Bild’? sowie am eigenen ge- 
sprochenen Wort“ als Ausdruck der individuellen Persönlichkeit des Spre- 
chers. Dem gemäß ist die Verwertung privater Tonbandaufzeichnungen 
oder auch Tagebuchaufzeichnungen grundsätzlich unzulässig®°. 


Ferner gebietet das allgemeine Persönlichkeitsrecht den Schutz vertrauli- 
cher Kommunikation vor entsprechender Offenbarung (z.B. in öffentlich- 
rechtlichen Sonderrechtsverhältnissen im Bereich des Strafvollzuges), um 
auf diese Weise eheliche und familiäre Privatsphären, den Schriftverkehr 
zwischen Eltern und Kindern oder besonders enge Vertrauensverhältnisse, 
z. B. unter Geschwistern, zu achten*®. 


Im Blick auf die sozialen Dimensionen des allgemeinen Persönlichkeits- 
rechts hat die Rechtsprechung des Bundesverfassungsgerichts weitere sub- 
jektive Teilrechte mit allerdings eigenständiger Bedeutung entwickelt: So 
etwa den Schutz vor Fehlzitaten, namentlich Verfälschung durch entstellte 
Wiedergabe und Missdeutungen?’, die Anerkennung eines Gegen- 
darstellungsanspruchs?®, den Schutz vor persönlicher Verunglimpfung® 
oder Ehrverletzung”. 


Im Übrigen gebietet das in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG garantierte 
allgemeine Persönlichkeitsrecht den Schutz der Identität des Einzelnen, 
insoweit sein Namensrecht als Ausdruck seiner Identität und Individuali- 
tät?! und daraus folgend ein Recht des Einzelnen darauf, seine eigene 
persönlichkeitsprägende Abstammung im Hinblick auf die Bedeutung für 
Selbstverständnis und Selbstfindung ermitteln zu dürfen“. 


Schließlich verbietet das allgemeine Persönlichkeitsrecht eine vollständige 
Isolierung des Einzelnen, etwa im Strafvollzug”, und führt im Wege prak- 
tischer Konkordanz zur normativen Begrenzung des Sorgerechts der Eltern 
gegenüber Kindern und Jugendlichen, denen im Rahmen ihrer jeweiligen 
Entwicklung ebenfalls ein mehr oder weniger umfassendes Recht auf Ent- 
faltung der eigenen Persönlichkeit zukommt°%. 


43 BVerfGE 35, 202 (224 f.); 97, 228 (268); 101, 361 (381 f.) 

44 BVerfGE 34, 238 (246 ff.) 

45 BVerfGE 80, 367 (381) 

46 BVerfGE 35, 35 (40); 42, 234 (236 f.); 57, 170 (178); 90, 255 (262) 
47 BVerfGE 54, 148 (155); 54, 208 (217 f.); 82, 236 (269): 99, 185 (193 f.) 
48 Zuletzt BVerfGE 97, 125 (146 f.); 97, 391 (403) 

49 BVerfGE 54, 148 (153 £.); 93, 266 (290, 300 £.); 97, 391 (404 f.) 

50 BVerfGE 34, 269 (281 ff.) 

51 VerfGE 78, 38 (49); 97, 391 (399 f.) 

52 VerfGE 79, 256 (268 f.); 90, 263 (270 f.) 

53 VerfGE 49, 24 (55) 

54 VerfGE 72, 155 (170 ff., 173) 
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2.3.2 


2.3.3 


An Dimensionen oder Sphären orientierter Ansatz 


Die Dogmatik des vom Bundesverfassungsgerichts entwickelten allgemei- 
nen Persönlichkeitsrechts auf der Grundlage des Art. 2 Abs. 1 i.V.m. 1 Abs. 
1 GG lässt sich über die inhaltliche Bestimmung einzelner Teilrechte hin- 
aus durch Orientierung an unterschiedlichen Dimensionen oder Sphären 
erschließen°*: Insoweit ist zu differenzieren zwischen dem Recht der 
Selbstbestimmung (Kenntnis der eigenen Abstimmung, Entscheidung über 
die eigene Geschlechtsrolle und den entsprechenden Personenstand, auto- 
nome Entscheidung über Fortpflanzung usw.), dem Recht der Selbst- 
bewahrung (Wahrung des Vertrauensverhältnisses zwischen Arzt und Pati- 
ent, Vertraulichkeit von Befunden über Genmaterial, Gesundheitszustand 
und seelische Verfassung sowie Charakter, Vertraulichkeit des Tagebuchs) 
und schließlich dem Recht der Selbstdarstellung (Schutz der persönlichen 
Ehre, Recht am eigenen Bilde und Wort, Schutz vor heimlichem Abhören 
und Aufnehmen, Recht auf Gegendarstellung und Berichtigung, Recht, in 
Straf- und ähnlichen Verfahren nicht zur Selbstbezichtigung oder zur Of- 
fenbarung persönlicher Lebensumstände gezwungen zu werden). An die- 
ser Differenzierung wird zugleich der unterschiedliche Bezug des Persön- 
lichkeitsrechts zu Dritten und zur allgemeinen Öffentlichkeit und damit die 
soziale Dimension dieses Grundrechts deutlich. 


Einordnung eines Rechts auf Anonymität in das bisherige System der 
Teilrechte des allgemeinen Persönlichkeitsrechts 


Geht man im Blick auf die erheblichen Freiheitsgefährdungen durch die 
rasante Entwicklung der Informations- und Kommunikationstechnologie, 
die Überwachungstechniken und die technischen Möglichkeiten im Be- 
reich der Gesundheitsvorsorge und der Krankenversorgung (einschließlich 
der Betreuung von Pflegebedürftigenden und Sterbenden) von einem er- 
heblich gesteigerten Schutzbedürfnis der Privat- und Intimsphäre, der au- 
tonomen Selbstbestimmung, Selbstbewahrung und Selbstdarstellung aus, 
welches nur durch Anerkennung eines allgemeinen Rechts auf Anonymität 
angemessen erfasst, begrenzt und kontrollierbar gemacht wird, dann lässt 
sich schwerlich bestreiten, dass die bisher in der kasuistischen Rechtspre- 
chung des Bundesverfassungsgerichts und des Bundesgerichtshofs entwi- 
ckelten Teilrechte des allgemeinen Persönlichkeitsrechts nicht ausreichen, 
um diese allgemeine Anonymität sicherzustellen. Der Schutzbereich der 
Intim- und Sexualsphäre liefert nur einen Teilausschnitt, gleiches gilt für 
den Schutz der privaten Geheimnissphäre, die bisherigen Entwicklungen 
des Rechts auf informationelle Selbstbestimmung greifen häufig erst nach 
der möglichen Identifizierung des Betroffenen und betreffen auch nur 
Interaktionen im Bereich von Information und Kommunikation, und das 
Recht am eigenen Bild und am eigenen Wort vermittelt ebenfalls nur einen 
Teilaspekt des Rechts auf Selbstdarstellung. Vor allem gebietet die Er- 
kenntnis, dass der Persönlichkeitsschutz um so intensiver ausgestaltet sein 


54 Dazu statt vieler mit weit. Nachw. Pieroth/Schlink, Grundrechte, Staatsrecht II, 18. Aufl. 
2003, Rdn. 373 ff. 
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muss, je näher die Beeinträchtigungen die Privatsphäre des Individuums 
betreffen und damit im Hinblick auf die Garantie der Menschenwürde und 
den Wesensgehalt der allgemeinen Freiheitsrechte relevant werden, unab- 
hängig von den bisherigen Teilrechten, aber als Ausfluss des allgemeinen 
Persönlichkeitsrechts gemäß Art. 2 Abs. 1 i.V.m. 1 Abs. 1 GG ein subjekti- 
ves Recht auf Anonymität grundsätzlich anzuerkennen”. Zur Wahrung 
der Grundrechte Dritter und zur Konkretisierung verfassungsrechtlicher 
Ziele erforderliche Einschränkungen dieser Anonymität berühren nicht die 
Existenz dieses neu zu entwickelnden Teilrechts des allgemeinen Persön- 
lichkeitsrechts, sondern seine Schranken und damit die Ebene der Recht- 
fertigung grundrechtlicher Freiheitsbeschränkung. 


Grundrechtsdogmatische Folgerungen 


Funktionen und Wirkungsweise eines Rechts auf Anonymität 


Lässt sich dergestalt ein generelles Recht auf Anonymität als ein (neues) 
Teilrecht des allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1 i.V.m. 
1 Abs. 1 GG herleiten, so nimmt dieses Recht an Funktionen und Wir- 
kungsweise des allgemeinen Persönlichkeitsrechts — möglicherweise mit 
inhaltsspezifischen Modifikationen - teil: Es entfaltet normativ verbindliche 
(Art. 1 Abs. 3 GG) Wirkungen primär als klassisches Abwehrrecht, mit 
entsprechenden Abwehr- bzw. Unterlassungsansprüchen gegenüber staat- 
lichen Eingriffen in den Schutzbereich5®. Insoweit bietet das Recht auf 
Anonymität dem Grundrechtsinhaber die grundsätzliche Gewähr dafür, 
dass staatliche Organe oder Untergliederungen ohne Rechtfertigung die 
persönliche Identität des betroffenen Grundrechtsinhabers weder verlan- 
gen, noch sich auf andere Weise verschaffen oder an Dritte weitergeben 
dürfen. Ob einem derartigen Recht auf Anonymität auch ein aktiv bürgerli- 
cher Gehalt, der angeblich jedem Grundrecht innewohnt?’, zukommt, 
erscheint indessen zweifelhaft. Anonymität bedeutet Nichtidentifizierbar- 
keit, in Ruhe gelassen zu werden, mithin im Kern absolute Passivität. Es 
beinhaltet insoweit die „negative“ Kehrseite eines auf politische und sozi- 
ale Mitwirkung, auf streitbare Demokratie, auf Meinungsäußerungs-, Ver- 
sammlungs- und Parteigründungsfreiheit angelegten Systems der streitba- 
ren Demokratie?®. Dies ist der Ausgestaltung grundrechtlicher Freiheit im 
Grundgesetz immanent: Niemand kann wirksam zur Teilnahme und Mit- 
wirkung an einem derartigen offenen Diskurs mit entsprechendem Be- 
kenntnis zur eigenen personalen Identität gezwungen werden. 


5 vgl. erstmals BVerfGE 6, 32 (41); dazu mit weit. Nachw. Hillgruber, in: Umbach/Clemens 
(Hrsg.), Grundgesetz, Mitarbeiterkommentar, Band 1, Art. 2 Abs. 1 Rdn. 63 ff. 


56 Vgl. Isensee, in: ders./Kirchhof (Hrsg.), Handbuch des Staatsrechts, Band V, $ 111 Rdn. 37 
f 


57 Etwa Dreier, Jura 1994, S. 505 (507) 
58 Dazu auch Dix, in diesem Band S. 52 ff. 
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Insoweit lässt sich dieses Element des allgemeinen Persönlichkeitsrechts 
auch als objektiv-rechtlicher Ausdruck einer bestimmten Wertentscheidung 
des Grundgesetzes begreifen. Dies hat zwei wesentliche grundrechtsdog- 
matische Konsequenzen: Als Bestandteil des allgemeinen Persönlichkeits- 
rechts ist auch das Recht auf Anonymität auf grundrechtliche Drittwirkung 
angelegt”. Diese ist bei der Gestaltung der unterverfassungsrechtlichen 
Rechtsordnung sowie bei der Rechtsanwendung und Rechtskontrolle durch 
Behörden und Gerichte stets dann zu verwirklichen, wenn und soweit 
Rechtsverhältnisse zwischen Privaten durch unbestimmte, wertausfüllung- 
bedürftige Rechtsbegriffe mitgestaltet werden (z.B. $ 826 BGB)P®. Dies hat 
zur Folge, dass in Konkretisierung unterverfassungsrechtlicher Rechtsord- 
nung zwischen privaten Rechtssubjekten grundrechtliche Kollisionslagen 
auch im Bereich des Persönlichkeitsrechts vielfältig entstehen. Über sie 
generell zur Verwirklichung praktischer Konkordanz zu entscheiden, ist 
Aufgabe des parlamentarischen Gesetzgebers; insoweit folgt aus seiner 
Verpflichtung zum Grundrechtsschutz gemäß Art. 1 Abs. 3 GG sowie dem 
auch in Art. 20 Abs. 2 S. 1 GG angelegten Gewaltmonopol des Staates, 
seiner Organe und Untergliederungen sogar die Verpflichtung, Anonymität 
des Individuums in unterschiedlichen Rechtsrelationen zu schützen®?. Al- 
lerdings führen Globalisierung und Internationalisierung vieler Lebensbe- 
reiche sowie der Rückzug nationaler Staatlichkeit auf 
Gewährleistungsfunktionen dazu, dass der Staat seiner grundrechtlichen 
Schutzpflicht insbesondere im Bereich der Informations- und 
Kommunikationstechnologie (hierzu gehört der Schutz der Anonymität 
jedenfalls teilweise) nicht mehr im vollen Umfang selbst genügen kann®?. 
Insoweit von einem Vorbehalt des Möglichen bei Wahrnehmung derartiger 
Schutzpflichten generell auszugehen, erscheint nicht unproblematisch, weil 
bei grundrechtlichen Kollisionslagen in bi- oder multipolaren 
Rechtsverhältnissen es insoweit zu Grundrechtseingriffen gegenüber 
Dritten kommen kann%. 


Typische Gefährdungslagen (denkbare Eingriffe) 


Namentlich Denninger, Bizer und Weichert haben eindrucksvoll beschrie- 
ben, welchen vielfältigen Einschränkungen ein Recht auf Anonymität heute 
unterliegt05. Insoweit geht es nicht nur um faktische Beeinträchtigungen 
durch Videoüberwachung, moderne Fahndungsmethoden und Erstellung 
von Persönlichkeitsprofilen durch Datenverknüpfung bei Internetnutzern, 
sondern auch um zahlreiche unterverfassungsrechtlich begründete Pflich- 


59 Vgl. Degenhart, Jus 1992, S. 361 (362) mit weit. Nachw. 
60 Erstmals BVerfGE 7, 198 (205 f.) 


61 Dazu kürzlich mit umfangr. Nachw. von Mutius, Grundrechtskollisionen im Mietrecht, in: 
Jickeli/ Kreutz/Reuter (Hrsg.). Gedächtnisschrift für J. Sonnenschein, Berlin 2003, S. 69 ff. mit 
umfangr. Nachw. 


62 Zur normativen Begründung derartiger Schutzpflichten insgesamt mit weit. Nachw. Pie- 
roth/Schlink, Grundrechte Staatsrecht II, 18. Aufl. 2003, Rdn. 82 ff., 92 ff. 


63 Roßnagel/Scholz, MMR 2000, S. 721 (722) 
64 Jeand“ heur, JZ 1995, S. 161 (163 f.) 
65 In diesem Band, S. 41, S. 78, S. 95. 
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ten zur Identifizierung einzelner Individuen gegenüber Behörden, zwi- 
schen Vertragspartnern, Kunden und Verbrauchern®®. Wegen des weiten 
Schutzbereichs des Art. 2 Abs. 1 i.V.m. 1 Abs. 1 GG in den unterschiedli- 
chen Facetten des allgemeinen Persönlichkeitsrechts und damit auch eines 
Rechts auf Anonymität und der notwendigen Preisgabe des klassischen (= 
finalen oder imperativen) Eingriffsbegriffs°” bestehen typische Gefähr- 
dungslagen nicht nur durch finale oder imperative, mithin normativ inten- 
dierte, sondern auch durch unmittelbar faktische Beeinträchtigungen indi- 
vidueller Anonymität. Auf sie ist also mit den erwähnten Grundrechtsfunk- 
tionen angemessen zu reagieren. 


Aspekte verfassungsrechtlicher Rechtfertigung 


Als Element des in Art. 2 Abs. 1 i.V.m. 1 Abs. 1 GG geschützten allgemei- 
nen Persönlichkeitsrechts gilt die in Art. 2 Abs. 1 normierte Schrankentrias 
auch für ein dort abzuleitendes Recht auf Anonymität®. Bekanntlich hat 
das Bundesverfassungsgericht seit dem sogenannten Elfes-Urteil den Beg- 
riff der verfassungsmäßigen Ordnung bestimmt als die Gesamtheit der 
Normen, die formell und materiell mit der Verfassung in Einklang stehen‘®. 
Damit stehen die Rechte aus Art. 2 Abs. 1 GG unter einem einfachen Ge- 
setzesvorbehalt, was verfassungsrechtlich und verfassungspolitisch durch 
die erhebliche Ausweitung des Schutzbereichs dieses Grundrechts im Er- 
gebnis gerechtfertigt erscheint. Dies hat zur Folge, dass Beeinträchtigungen 
des Rechts auf Anonymität nur durch oder aufgrund eines parlamentari- 
schen Gesetzes gerechtfertigt werden können, welches hinreichend be- 
stimmt ist und auch im Übrigen der Verfassungsrechtsordnung entspricht. 
Es gelten also Parlamentsvorbehalt und Bestimmtheitsgrundsatz. Dies be- 
wirkt ferner, dass der parlamentarische Gesetzgeber bei Anerkennung 
eines allgemeinen Rechts auf Anonymität gehalten ist, im Telekommunika- 
tions- und Medienrecht, im Datenschutzrecht, im Polizei- und Ordnungs- 
recht sowie in sonstigen Bereichen des Rechts der öffentlichen Sicherheit 
u.a. zu prüfen, ob die vorhandenen, persönlichkeitsschützenden Rege- 
lungsansätze den neuen verfassungsrechtlichen Anforderungen genügen. 
Ähnliches gilt für die Normanwendung und -kontrolle, also etwa die Kon- 
kretisierung der Verpflichtungen aus $ 3 a S. 2 BDSG. 


Ob bei der Ermittlung legitimer Gründe zur Beschränkung des Grund- 
rechts auf Anonymität und zugleich verfassungsrechtlicher Grenzen in 
Konkretisierung des Übermaßverbotes gemäß Art. 19 Abs. 2 GG die im Be- 
reich des Persönlichkeitsrechts entwickelten Sphären’®, also die Differen- 


66 Eingehend hierzu mit Nachweisen Bizer, in diesem Band, S. 78 ff. 


67 Vgl. etwa Bleckmann/Eckhoff, DVBl. 1988, 373; Lübbe-Wolff, Grundrechte als Eingriffsab- 
wehrrechte, 1988, passim; T. Koch, Der Grundrechtsschutz des Drittbetroffenen, 2000, S. 211 
ff.; überblickartig Pieroth/Schlink, Grundrechte Staatsrecht II, 18. Aufl. 2003, Rdn. 238 ff. 


68 Vgl. für das allgemeine Persönlichkeitsrecht statt vieler BVerfGE 65, 1 (43 f.); Jarass, in: 
ders./Pieroth, GG, 6. Aufl. 2002, Art. 2 Rdn. 45 


69 BVerfGE 6, 32 (38 ff.); 80, 137 (153) 
70 Degenhart, JuS 1992, S. 363 f. 
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zierung zwischen Intim-, Privat-, Sozial- und Öffentlichkeitssphäre”!, wei- 
terhilft, erscheint zweifelhaft. Soweit ein Bedürfnis nach umfassender Ano- 
nymität grundrechtlich anzuerkennen ist, verbieten sich Abstufungen von 
selbst: Öffentlichkeitssphäre schließt Anonymität begriffslogisch aus, die in 
der Literatur vielfältig geäußerte Kritik an der „Sphärentheorie“’? wird in 
diesem Zusammenhang also nicht relevant. 


Demgegenüber erscheint es im Bereich bipolarer oder mehrpoliger Grund- 
rechtskollisionen namentlich in Privatrechtsverhältnissen geboten, das an- 
zuerkennende Recht auf Anonymität als Ausgangslage mit dem ständig 
wachsenden Informationsfluss und der Offenlegung personaler Identität 
durch verknüpfte Daten in Ausgleich zu bringen. Die Beachtung der 
„Rechte anderer“ in Art. 2 Abs. 1 GG sowie der Erfüllung staatlicher 
Schutzpflichten aus der Grundrechtsbindung und dem Gewaltmonopol 
verlangt von der staatlichen Rechtsordnung und seiner Anwendung einen 
den Prinzipien der Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit 
im engeren Sinne (= verfassungsrechtliches Übermaßverbot) genügenden 
Ausgleich widerstreitender Interessen im Wege praktischer Konkordanz, 
also wechselseitiger Grundrechtsoptimierung. 


Personaler Geltungsbereich 


Die durch die Orientierung an der Menschenwürde gemäß Art. 1 Abs. 1 
GG gebotene Ausprägung des allgemeinen Persönlichkeitsrechts und da- 
mit auch eines Rechts auf Anonymität fordert die Beschränkung dieses 
Grundrechts auf alle lebenden natürlichen Personen unabhängig von Alter 
oder Staatsangehörigkeit’3®. Ein Bedürfnis nach verfassungsrechtlichem 
Schutz vor Offenlegung persönlich-individueller Identität ist bei überindi- 
viduellen Organisationseinheiten im Sinne des Art. 19 Abs. 3 GG schwer 
vorstellbar; die Erstreckung eines Grundrechts auf juristische Personen als 
bloße zweckgebildete Rechtsordnung scheidet jedenfalls dort aus, wo der 
Grundrechtsschutz an Eigenschaften, Äußerungsformen oder Beziehungen 
anknüpft, die nur natürlichen Personen „wesenseigen“ sind’*. Demgegen- 
über nehmen unter bestimmten Voraussetzungen Minderjährige nicht nur 
als Inhaber, sondern auch als Ausübungsberechtigte an dem Recht auf 
Anonymität teil’?. 


Grundrechtskonkurrenzen 


Als Unterfall des allgemeinen Persönlichkeitsrechts steht ein aus Art. 2 Abs. 
1 i.V.m. Art. 1 Abs. 1 GG abgeleitetes subjektiv-Ööffentliches Recht auf Ano- 
nymität neben anderen speziellen Freiheitsrechten. Es kann gegenüber 
solchen Grundrechten, die ebenfalls den Schutz der Persönlichkeit partiell 


71 BVerfGE 101, 361 (385) 
72 Dazu Wölfl, NVwZ 2002, S. 49 ff. 


73 Herrschende Meinung, vgl. Jarass, NJW 1989, 857 (859); Kunig, Jura 1993, 595 (598 f.); 
Dreier, in: ders., Grundgesetz-Kommentar, Art. 2 Abs. 1 Rdn. 55 


74 BVerfGE 95, 220 (242); zuletzt BVerfG, DVBl. 2003, S. 131 (134 ff.) 
75 Bezogen auf das allgemeine Persönlichkeitsrecht BVerfGE 24, 119 (144); 55, 171 A81) 
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bezwecken (insbesondere Art. 10, 13 oder 6 Abs. 1 GG), das Speziellere 
sein, wie auch umgekehrt’. Das Bedürfnis nach bereichsunabhängiger 
Gewährleistung eines Rechts auf Anonymität und seiner Orientierung an 
der Menschenwürde gemäß Art. 1 Abs. 1 GG sprechen indessen dafür, 
dieses Teilrecht aus dem allgemeinen Persönlichkeitsrecht als gegenüber 
den besonderen Freiheitsrechten spezieller zu qualifizieren. 


Fazit 


Wie bei Fortentwicklung eines „unbenannten“ Grundrechts nicht anders 
zu erwarten und im Blick auf neuartige Gefährdungen der Privat- und 
Intimsphäre einzelner Individuen, deren derzeitige Tragweite und künfti- 
gen Veränderungen kaum verbindlich abgeschätzt werden können, wohl 
auch angemessen, sind normativer Gehalt, Reich- und Wirkungsweise, 
Beschränkbarkeit und verfassungsrechtliche Maßstäbe zur Rechtfertigung 
von Einschränkungen eines allgemeinen Rechts auf Anonymität nicht ab- 
schließend festzustellen. Insoweit bleibt nicht nur ein gegenwärtig akuter 
Forschungsbedarf unerfüllt, sondern ist es geboten, durch Gesetzgebung, 
Normanwendung und Wissenschaft die weitere Entwicklung sorgfältig zu 
beobachten und kritisch zu begleiten. Gläserne Verwaltungen, Unterneh- 
men und Verbände mögen erstrebenswert sein — gläserne Menschen sind 
es nicht! 


76 Vgl. etwa BVerfGE 35, 35 (39); 57, 170 (177 £.); kritisch Erichsen, Handbuch des Staats- 
rechts Band 6, $ 151 Rdn. 29 
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1 Enleitung 


Die Problematik von Anonymität und Privatheit will ich im Folgenden von 
einer bestimmten Perspektive aus untersuchen und diskutieren: und zwar 
werde ich versuchen, die normativen Grundlagen der Idee eines Rechts 
auf Anonymität zu klären. Ich werde also nicht (oder nur am Rande) über 
juristische Probleme sprechen, sondern ich werde nur versuchen zu erklä- 
ren und zu plausibilisieren, warum wir ein solches Recht auf Anonymität, 
das wir intuitiv offenbar für notwendig halten, auch für gerechtfertigt hal- 
ten dürfen und sollen. 


Was ich also zeigen möchte, ist, aus welchen Gründen und in welcher 
Weise ein Recht auf Anonymität begründet werden kann: nämlich abge- 
leitet von einem Recht auf Privatheit. Vorgehen werde ich dabei so, dass 
ich zunächst einige kurze Bemerkungen zur Geschichte und zur Idee von 
Anonymität machen werde; dann in einem zweiten Schritt das angenom- 
mene Recht auf Anonymität in den weiteren Kontext eines Rechts auf Pri- 
vatheit situieren. Wo bewegen wir uns, wenn wir nach einem Recht auf 
Anonymität fragen? Um diese Frage zu beantworten, wird es auch nötig 
sein, etwas ausführlicher über Privatheit und Freiheit zu reden, um den 
begrifflich-systematischen und normativen Rahmen zu verdeutlichen, in- 
nerhalb dessen Anonymität als Recht begriffen werden kann. Relevant ist 
natürlich vor allem der Zusammenhang zwischen informationeller Pri- 
vatheit und Anonymität - und dieses Problem wird dann auch den größten 
Teil dieses Beitrages einnehmen. Schließen möchte ich mit einigen Bemer- 
kungen zur Ambivalenz von Privatheit und Anonymität in unseren liberal- 
demokratischen Gesellschaften. 


2 Begriffswandiungen 


Lassen Sie mich also beginnen mit einigen einleitenden Überlegungen zu 
einem Recht auf Anonymität: Das Recht auf Anonymität ist sicherlich nichts 
selbstverständliches. Die Idee eines solchen Rechts auf Anonymität mutet 


H. Bäumler et al. (eds.), Anonymität im Internet 
O) Ç r eig var G r akl a O M \y7: Ach A ar 9 AYA 2 
© Springer Fachmedien Wiesbaden 2003 
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im Gegenteil zunächst einmal merkwürdig an: sicherlich kann man nicht 
sagen, dass wir ein solches Recht hatten oder beanspruchten unabhängig 
von bestimmten Kontexten, und zwar gilt dies in gleicher Weise für die so 
genannte offline wie für die online world. 


Ein Recht auf Anonymität gibt es nicht in der Geschichte der Philosophie. 
Anonymität ist selbst auch kein etablierter philosophischer Begriff: kein 
philosophisches Wörterbuch hat m.W. einen Eintrag Anonymität.! Und 
wenn wir die Alltagssprache und deren Geschichte betrachten, so kann 
man feststellen, dass selbst noch im Grimm’schen Wörterbuch (im ersten 
Band von 1831) ein Eintrag Anonymität nicht zu finden ist. Anonymität ist 
folglich nicht nur in der philosophischen und juridischen Begriffsge- 
schichte vergleichsweise neu; der Begriff und die Idee spielt auch in der 
Alltagssprache erst seit ungefähr hundert Jahren eine nennenswerte Rolle. 
Es gibt allerdings einen Kontext, in dem der Begriff tatsächlich verwendet 
wurde und relevant war: nämlich, natürlich, in der Bedeutung des na- 
menlosen, anonymen Briefeschreibers oder Schriftstellers, bezogen auf 
literarische Erzeugnisse ohne Angabe des Verfassers. 


Anonymität ist also nicht gerade ein philosophischer Grundbegriff und 
auch in den entsprechenden Internet-Veröffentlichungen zum Problem der 
Anonymität fangt die Rubrik "Geschichte" meist ungefähr bei 1988 an - 
eine Jahreszahl, die für die Philosophie nicht ernsthaft zur Geschichte ge- 
hört.2 


Was jedoch interessanter als diese bloßen Fakten ist, ist, dass die Idee von 
Anonymität, von Namenlosigkeit, Unbekanntheit, Nichtidentifizierbarkeit, 
dass der unbenannte Mensch, dessen Identität nicht feststellbar ist, in neu- 
erer Zeit nicht mehr in einem pejorativen Sinn, sondern vielmehr in einem 
positiven Sinn verwendet wird: in der heutigen Terminologie hat sich eine 
vollständige Um- und Neubewertung des Begriffs vollzogen. Denn Ano- 
nymität wird geradezu als Bedingung dafür begriffen, unidentifiziert in der 
Öffentlichkeit die eigene Freiheit leben zu können, als Bedingung für ein 
selbständiges, nicht kontrolliertes Leben, weil und insofern es mit der Frei- 
heit in der Moderne auch um das unkontrollierte Leben, um gleichsam die 
Erfindung der eigenen Identität geht, ohne die Kontrolle von Gesellschaft 
oder Staat. 


1 Vgl. aber das Lemma Name im Historischen Wörterbuch der Philosophie, besonders zur 
Bedeutung in der Antike; übrigens heisst dies nicht, dass der Begriff des Anonymen nicht (im 
20. Jahrhundert) auch zu philosophischer Bedeutung gelangen kann, cf. etwa Karl Jaspers, 
Die geistige Situation der Zeit, Berlin 1979 (1932), bes. 152 ff (“Die anonymen Mächte”). 


2 Cf. zum Beispiel Karina Rigby, Anonymity on the Internet Must be Protected, 
www.swiss.ai.mit.edu/6095/student-papers/fall95-papers/rigby-anonymity.html; cf. allgemein 
auch Christiane Schulzki-Haddouti, Hg., Vom Ende der Anonymitat. Die Globalisierung der 
Überwachung, Hannover 2001; cf. auch Alan Westin, Privacy and Freedom, New York 1970 
(bes. Chapter 2); und Alexander Roßnagel e.a., Modernisierung des Datenschutzes. Gutachten 
im Auftrag des Bundesministerium des Innern, Berlin 2001, p. 148 ff. Eine interessante Beg- 
riffs- und Problembestimmung bietet Kathleen Wallace, Anonymity, in: Ethics and Informa- 
tion Technology 1, 1999. 
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Nun ist diese Umwertung der Idee natürlich nicht zu trennen von den 
Bedingungen, unter denen eine solche Idee und dann ein entsprechendes 
Recht allererst relevant wurde: also von den Bedingungen der Modernisie- 
rung und Technologisierung unserer Gesellschaft. Damit ziehen also eine 
Idee und ein Recht in den Diskurs der Moderne ein, die unabhängig von 
diesen Kontexten der Moderne gar nicht bestehen und bestehen konnten. 


Prima facie kann man also erst einmal allgemein sagen, dass die moderne 
Freiheitsidee gemeinsam mit den modernen Bedingungen technologischer 
Veränderungen zur Umwertung der Anonymität geführt haben und zur 
Idee und gegebenenfalls Notwendigkeit eines Rechts auf Anonymität. Dies 
wäre dann ein abgeleitetes Freiheitsrecht, eins von den Rechten, die not- 
wendig sind oder sein können, um Freiheitsrechte verwirklichen zu kön- 
nen. 


3 Das Recht auf Freiheit in der Öffentlichkeit 


Doch so schnell kann man die Sache nicht abschließen - und zwar nicht 
nur wegen der negativen Konnotationen des Anonymen, als Prädikat für 
jemanden, der nicht einstehen will dafür, was er getan hat, negative Kon- 
notationen, die noch keineswegs verschwunden sind; sondern problema- 
tisch ist vor allem, dass ein Recht auf Anonymität zwar als Recht auf Frei- 
heit in der Öffentlichkeit begriffen wird, dieses Recht aber genauer spezifi- 
ziert werden muss, damit seine Begründung verstanden werden kann. 
Denn natürlich kann mir nicht jeder öffentliche Kontext ein Recht auf A- 
nonymität garantieren und natürlich kann ich ein solches Recht nicht ge- 
genüber jedem geltend machen. 


Wann ist man eigentlich anonym im täglichen Leben? Und wann sollte 
man es sein können? Und was ist das Bedürfnis, das dabei im Hintergrund 
steht? Anonym ist man in der Öffentlichkeit: aber nicht in jeder Öffentlich- 
keit, sondern beispielsweise in der Großstadt und in der Fremde - nicht 
jedoch auf dem Dorf und wohl auch nicht im nachbarschaftlichen Kiez. 
Anonymität scheint nun prima facie deshalb ein Problem der Privatheit im 
öffentlichen Raum zu sein, weil man sich als anonyme Person in der Öf- 
fentlichkeit bewegen will als ob man nicht bekannt, als ob man namenlos 
sei, als ob man gleichsam das Schutzschild des Privaten mit sich herum- 
trage. Aber nicht in jeder Sorte öffentlichem Raum kann man diese Sorte 
Privatheit erwarten. 


So kann die soziale Kontrolle beispielsweise auf dem Dorf und im städti- 
schen Kiez, wenn auch regional unterschiedlich, bekanntlich sehr groß 
sein. Und ich habe auch in der Großstadt sicherlich nicht ein moralisches 
Recht darauf, nicht von meiner Bäckerin mit einem freundlichen “Guten 
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Morgen Frau Rössler” begrüßt zu werden und dadurch, wenn auch auf 
höfliche Weise, deanonymisiert zu werden.? 


Schauen wir also noch einmal genauer hin, um welche Fragen und um 
welche Freiheit zur Anonymität es eigentlich geht: es geht offenbar um die 
Folgenden: wer weiß, wo ich bin und wer ich bin? Was weiß ich darüber, 
welche Anderen wissen, wo und wer ich bin? Welche Erwartungen habe 
ich daran, dass andere Menschen wissen wer und wo ich bin? Und: will 
ich das, dass andere wissen, wer und wo ich bin? 


Es sind nun natürlich genau diese Fragen, die Probleme der informatio- 
nellen Privatheit betreffen: denn es sind diese Fragen, die das Problem der 
möglichen und sinnvoll begründbaren Anonymität binden an das Wissen, 
das eine Person darüber hat, was andere über sie wissen; und damit bin- 
den an die Idee und das Recht der informationellen Privatheit: denn in- 
formationelle Privatheit, das werde ich gleich noch ausführlich darstellen 
und begründen, ist eine Form der Privatheit, die wesentlich aufbaut auf 
der Kontrolle, die eine Person darüber hat, was andere über sie wissen. 
Anonymität ist also offenbar wenn, dann ein Recht, das sich auf ein Recht 
auf informationelle Privatheit stützt, sich von einem solchen ableiten kann; 
Anonymität kann dann also versuchsweise bestimmt werden als Fall von 
informationeller Privatheit im öffentlichen Raum unbestimmien Anderen 
gegenüber. 


Die Grundlagen der Privatheit 


Um diesen bisher nur behaupteten Zusammenhang plausibilisieren zu 
können, will ich nun in einem zweiten Schritt ein wenig weiter ausholen 
und über die normativen Grundlagen des Privaten generell etwas sagen: 
denn was für die Begründung von Anonymität als Fall von Privatheit not- 
wendig ist, ist die Frage, warum wir eigentlich der Meinung sind, das Pri- 
vate überhaupt - und damit auch Anonymität - sei schützenswert, warum 
wir eine Gesellschaft ohne strukturelle Trennlinien zwischen privaten und 
öffentlichen Bereichen oder Dimensionen des Lebens für so unattraktiv 
halten. 


Und was ich zumindest kurz skizzieren möchte ist, dass wir Privatheit - 
und damit auch Anonymität - letztlich deshalb schätzen, weil wir, in libe- 
raldemokratischen Gesellschaften, Autonomie schätzen und weil diese 
Autonomie nicht, oder jedenfalls nicht in all ihren und nicht in ihren rele- 
vantesten Aspekten, lebbar ist ohne den Schutz von Privatheit, ohne die 
Unterscheidung zwischen privaten und öffentlichen Dimensionen oder 
Bereichen des Lebens. Privatheit ist folglich in ihrem Wert funktional be- 
zogen auf den der Autonomie; und wenn also ein Recht auf Anonymität 
als Recht auf Privatheit begriffen werden muss, dann gilt dies genauso für 


3 Natürlich kennzeichnet es die Grossstadt, dass ich gegebenenfalls in einer anderen Bäckerei 
einkaufen kann; cf. Roßnagel, a.a.O., p. 148. 
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Anonymität, und zwar, wie sich zeigen wird, als ein Fall von Privatheit im 
Öffentlichen. 


Lassen Sie mich also beginnen mit einigen Bemerkungen zum Begriff und 
zur Bedeutung dessen, was wir „privat” nennen. 


Von Privatheit oder dem Privaten reden wir bekanntlich in ganz unter- 
schiedlichen Kontexten: Religion ist Privatsache, ebenso wie bestimmte 
Daten, etwa medizinische Daten, über mich meine Privatsache sind; meine 
Privatsache ist, welche Kleidung ich trage und welchen Beruf ich wähle; 
und privat ist natürlich auch meine eigene, meine private Wohnung: prima 
facie haben all diese Dinge nicht mehr gemeinsam als den Namen. 


Schaut man jedoch genauer hin, so kann man sehen, dass es bei all diesen 
Formen von Privatheit darum geht, dass eine Person dann, wenn sie Pri- 
vatheit beansprucht, so etwas beansprucht wie die Kontrolle über den 
Zugang — zur Wohnung, aber auch zu persönlichen Daten oder zu Ent- 
scheidungen, wie etwa bei der Kontrolle darüber, dass sie selbst entschei- 
den kann, welcher Religion sie angehören möchte (wenn überhaupt ei- 
ner). 


Der gleiche gemeinsame Nenner all dieser Formen von Privatheit wäre 
also der der Zugangskontrolle: privat ist etwas dann, wenn ich dazu in der 
Lage und berechtigt bin, den Zugang — zu Daten, zu Wohnungen, zu Ent- 
scheidungen oder Handlungsweisen — zu kontrollieren. Dieser "Zugang" 
kann natürlich metaphorisch gemeint sein, etwa dann, wenn es um Zu- 
gang zu im Sinne von Einspruchsmöglichkeiten gegen Entscheidungen 
geht; Zugang kann aber auch ganz wörtlich gemeint sein als Zugang zu 
Daten oder Zugang zu meiner Wohnung. Privatheit als Zugangskontrolle 
kann also diese verschiedenen Bedeutungen haben. 


Damit ist aber auch gleich noch etwas anderes deutlich: denn es scheint 
sinnvoll, die Komplexität des Privaten so zu verstehen, dass man es hier 
mit drei verschiedenen Dimensionen zu tun hat: geht es um Daten über 
eine Person, also generell darum, was andere über mich wissen, dann geht 
es um meine informationelle Privatheit. Geht es um meine privaten Ent- 
scheidungen und Handlungen (mit wem will ich zusammenleben; wel- 
chen Beruf will ich ergreifen; aber auch: welche Kleidung trage ich), dann 
geht es um meine dezisionale Privatheit, um die Privatheit von Entschei- 
dungen; und steht die Privatheit meiner Wohnung zur Debatte, dann rede 
ich von lokaler Privatbeit. 


Sieht man nun auf diese drei Dimensionen des Privaten zusammen, dann 
kann man, und das ist meine generelle These, trotz der Heterogenität der 
Verwendungsweisen des Privaten und trotz der Unterschiedlichkeit der 
drei Dimensionen des Privaten, auch einen gemeinsamen Nenner ausma- 
chen, wenn man nämlich fragt, was diese Privatheit jeweils schützen soll: 
denn Privatheit schützt die individuelle Freiheit und Autonomie von Per- 
sonen. Wir wollen den Schutz des Privaten deshalb, weil wir anders nicht 


4 Cf. zum folgenden sehr viel ausführlicher Beate Rössler, Der Wert des Privaten, Frankfurt 
2001. 
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unser Leben so frei und selbstbestimmt wie möglich leben können. Und 
gerade auch deshalb sollten wir Privatheit schätzen: denn das Aufgeben 
von Ansprüchen auf Privatheit ist immer auch zugleich das Aufgeben von 
bestimmten Ansprüchen, frei und selbstbestimmt zu sein. 


Dabei ist es der moderne Begriff von Autonomie und Selbstbestimmung, 
den ich hier zur Erklärung heranziehen will, Autonomie in dem weiten 
Sinn, in dem es um die grundsätzliche Idee geht, dass jede Person selbst 
entscheiden kann und können sollte, wie sie leben will. In diesem Sinn 
"frei" und autonom zu sein, das ist die Idee, bedeutet, so zu wählen, wie 
wir leben, wie wir sein wollen. Autonomie in diesem Sinne bedeutet dann 
auch, sich selbst für das eigene Leben gute Gründe geben zu können, und 
für Entscheidungen und Lebensweisen sich selbst soweit wie möglich und 
nötig für verantwortlich zu halten. 


Modern ist dieser Begriff von Freiheit als Autonomie deshalb, weil es erst 
mit dem modernen, individualistischen Freiheitsbegriff seit der Aufklärung 
darum geht, so zu leben wie man selbst will; die Tradition ist dabei natür- 
lich die klassisch-liberale von Kant und Mill: "Die einzige Freiheit, die die- 
sen Namen verdient, ist die, nach unserem eigenen Wohle auf unsere ei- 
gene Weise zu streben.", so heißt es bekanntlich bei Mill. Autonomie be- 
deutet also, "auf unsere eigene Weise" das je eigene Wohl zu finden - oder 
doch zu suchen; ohne Autonomie, so Mill, ist folglich individuelles Glück 
nicht möglich und findbar; ein nichtautonomes Leben in diesem Sinne 
wäre kein gelungenes Leben: denn ohne diese Form der Selbstbestimmung 
würden wir unser eigenes Wohl als unser eigenes gerade verfehlen. 


Bedingungen für ein autonomes Leben 


Nun müssen jedoch für ein solches autonomes Leben bestimmte Bedin- 
gungen gegeben sein, Bedingungen, die sowohl die subjektiven Fähigkei- 
ten von Personen betreffen wie auch die intersubjektiven und gesellschaft- 
lichen Umstände. Zu diesen Bedingungen gehört - und hier kann ich na- 
türlich nur sehr kurze Stichworte nennen - nicht nur eine demokratische 
Gesellschaft (das ist uns allen selbstverständlich), für die der Respekt vor 
der Autonomie von Subjekten und ihr Schutz konstitutiv ist; sondern dazu 
gehört die Möglichkeit, autonome Entscheidungen und Lebensplane auch 
leben zu können; dazu gehört, dass gesellschaftliche Möglichkeiten und 
Optionen vorhanden sind, die auch von allen genutzt werden können; 
dazu gehört der Schutz von intimen Beziehungen, in denen Autonomie 
erlernt und gelebt werden kann; ein solcher Schutz ist auch deshalb not- 
wendig, weil Personen existenzielle als autonome Entscheidungen nur in 
einem solchen geschützten Umfeld verhandeln können. 


Auch wenn man die gesellschaftlichen Bedingungen für die Möglichkeit 
eines autonomen Lebens nur so grob und stichwortartig benennt, wird 
doch sofort deutlich, dass für ein solches Leben der Schutz von Privatheit 
konstitutiv ist: dezisionale Privatheit deshalb, weil anders Entscheidungen 
und Lebenspläne nicht gelebt und verfolgt werden können. Lokale Pri- 
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vatheit deshalb, weil anders der Schutz intimer Beziehungen und die 
Rückzugsmöglichkeiten nicht gewährleistet werden können. 


Doch den genaueren Zusammenhang zwischen Autonomie und Privatheit 
will ich nun, wie angekündigt, genauer erläutern anhand der Problematik 
der informationellen Privatheit, da erst so auch der genaue Zusammen- 
hang zwischen Freiheit und Anonymität deutlich werden kann. 


Was hier zunächst einmal für das Verständnis des Begriffs notwendig 
scheint, ist, zu sehen, dass die Problematik der informationellen Privatheit 
über den Datenschutz gegenüber Staat und Gesellschaft weit hinaus geht 
und wichtig ist in allen sozialen Bezügen, in denen Subjekte leben. Dies 
wird deutlich dann, wenn man sich die unterschiedlichen Kontexte, in 
denen informationelle Privatheit gefordert werden kann, vor Augen führt: 
Denn bekanntlich empfinden wir es beispielsweise als unangemessen, 
unhöflich, oder sogar unmoralisch und widerrechtlich, wenn andere Leute 
uns ohne unser Wissen (oder auch mit unserem Wissen) und gegen unse- 
ren Willen, beobachten oder belauschen, oder sogar filmen oder abhören, 
ob zuhause, im Büro, auf der Straße oder im Cafe. Wir fühlen uns gestört, 
beschämt, verletzt, beeinträchtigt, verunsichert, kontrolliert, wenn wir es 
bemerken; auch und ebenso beispielsweise dann, wenn enge Freunde 
etwas weitererzählen, was sie über uns nur deshalb wissen, weil sie enge 
Freunde sind. 


Diese ganz unterschiedlichen Kontexte verweisen darauf, dass eine Person 
in ganz unterschiedlichen Hinsichten beansprucht, Informationen über sich 
selbst geschützt zu halten, deren Weitergabe kontrollieren zu wollen. 
Wenn es also beim Schutz des Privaten allgemein darum geht, in verschie- 
denen Hinsichten den "Zugang" zur eigenen Person kontrollieren zu kön- 
nen, dann muss dies hier, bei der Frage nach der informationellen Pri- 
vatheit verstanden und interpretiert werden als Kontrolle darüber, was 
andere über die Person wissen können: dies ist folglich grob das, was man 
als "informationelle Privatheit" erläutern sollte. 


Dabei geht es im Kern also darum, wer was wie über eine Person weiß, 
also um die Kontrolle über Informationen, die sie betreffen; und zwar 
Kontrolle mindestens in dem Sinn, dass sie in vielen Hinsichten in der 
Hand hat, in anderen Hinsichten zumindest abschätzen kann, was andere 
Personen jeweils über sie wissen: dass sie folglich gut begründete Annah- 
men haben kann darüber, was Personen oder Institutionen, mit denen sie 
zu tun hat, über sie wissen und dass sie gemäß diesen Annahmen und 
Erwartungen dann auch über entsprechende Sanktions- oder jedenfalls 
Kritikmöglichkeiten verfügen kann. Das Problem der informationellen 
Privatheit ist dann also die Frage, wie sich begründen lässt, warum wir es 
für ein allgemeines, nach Kontexten je verschieden spezifizierbares, Recht, 
oder jedenfalls doch für einen gut begründeten Anspruch halten, nicht 
gegen unseren Willen und/oder ohne unser Wissen beobachtet oder be- 
lauscht zu werden, das Maß an Informationen, die andere über uns haben, 
kontrollieren zu können; und genau dies schloss, wie wir gesehen hatten, 
auch das Problem der Anonymität mit ein. 


34 


2 Grundlagen 


Warum aber ist hier der Bezug auf die Begriffe der Freiheit und der Auto- 
nomie relevant? Man könnte doch einwenden, dass, wenn man Personen 
beobachtet, belauscht, oder über sie redet, man sie anscheinend nicht in 
irgendeinem freiheitsrechtlich relevanten Sinn an irgendetwas hindert, 
zumindest prima facie ihre Freiheit gar nicht einschränkt. Warum sollte ich 
nicht mehr tun, was ich will, nur weil mich andere dabei beobachten, 
belauschen, und warum sollte die Weitergabe von "Daten", wenn sie nicht 
mit irgendwelchen tatsächlichen Einschränkungen verbunden ist, meine 
Freiheit gefährden, vor allem dann, wenn ich von der Beobachtung nicht 
einmal weiß und gegebenenfalls nie von ihr erfahre? 


Diese Frage klingt vielleicht trivial, macht aber deutlich, dass die Begrün- 
dung für die informationelle Privatheit tiefer reicht als die Idee des Schut- 
zes vor Datenmissbrauch: und sie ist nicht so einfach zu beantworten; die 
Antwort hierauf ist jedoch entscheidend nicht nur für ein Argument für 
Privatheitsrechte, sondern damit auch entscheidend für ein Recht auf Ano- 
nymität. 


Um nun diesen Zusammenhang von Privatheit, Informationskontrolle und 
Autonomie zu verdeutlichen, möchte ich Ihnen kurz zwei Beispiele vor 
Augen führen: zunächst den klassischen Fall des Voyeurs. 


Dieses Beispiel stammt aus einem Roman von John Barth:? Joe Morgan, 
einer der Protagonisten, der viel auf seine Intellektualität und Berrschtheit 
halt, wähnt sich allein und unbeobachtet zuhause. Statt jedoch still in sei- 
nem Zimmer zu sitzen und zu studieren, wie seine Freunde dies von ihm 
erwarten, imaginiert er sich in die Rolle eines Kommandanten und übt, 
seiner Truppe Befehle zu geben: er marschiert durchs Zimmer und brüllt: 
Habt acht! Rechts um! Und dergleichen mehr. Seine Partnerin, angestachelt 
von einem leicht dubiosen Freund, steht draußen am Fenster und beo- 
bachtet ihn fassungslos und entsetzt. 


Diese kleine Szene macht nun sicherlich eines deutlich: dass nämlich das 
Verhalten von Joe Morgan wesentlich bestimmt ist von seiner Erwartung, 
seiner Annahme, dass niemand ihn sieht, niemand davon weiß, wie er sich 
verhält, welches Schauspiel er aufführt. Nur weil dies seine Erwartung ist, 
verhält er sich genau so: und wüsste er von seinen Beobachtern, wäre 
seine Reaktion Scham, Wut, Ärger usf., und sicherlich das brennende Ge- 
fühl, hätte er dies gewusst, hätte er sich anders verhalten. Im Übrigen ist 
ab diesem Moment seine Interaktion mit seiner Partnerin und seinem 
Freund (und damit den Beobachtern) jedenfalls in dem Sinn gestört, dass 
seine Erwartungen an deren "Wissen über ihn" falsch sind; und eben dies 
heißt, dass damit auch seine Selbstbestimmung, ein Aspekt seines selbstbe- 
stimmten Verhaltens, entscheidend verletzt ist. Denn seine Selbstdarstel- 
lung anderen, Fremden gegenüber, die Art und Weise, wie er sich anderen 
gegenüber präsentieren will und damit ein entscheidender Aspekt seiner 
Selbstbestimmung, beruht hier auf falschen Annahmen, ist falsifiziert. 


> John Barth, The End of the Road, in: Barth, J., The Floating Opera and The End of the 
Road, New York 1958, p. 319. 
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Mit einem zweiten Beispiel sind wir direkt bei dem Problem der Anony- 
mität: dieses Beispiel soll deutlich machen, in welcher Weise die informa- 
tionelle Privatheit in der Öffentlichkeit durch ungewollte Beobachtung 
verletzt werden kann: es ist der Fall der verborgenen Videobewachung 
von Öffentlichen Plätzen. Geht man auf die Straße, um etwas einzukaufen, 
dann geht man natürlich mit Erwartungen daran, sich anderen Personen zu 
zeigen, mit anderen Personen in Kontakt zu treten. Man erwartet, nimmt in 
Kauf, dass andere wahrnehmen, registrieren, wie man heute aussieht, was 
man anhat, man erwartet, eventuell Bekannte zu treffen oder mit gänzlich 
Fremden an der Kasse ins Gespräch zu kommen. Man hat also Erwartun- 
gen an einen unbestimmten, und (im Prinzip) unbekannten Personenkreis, 
dem man begegnen kann; und man hat Erwartungen daran, wie sich diese 
Personen einem selbst gegenüber verhalten - nämlich (im Prinzip) distan- 
ziert, nicht kommentierend. Aber man hat nicht die Erwartung, dass sol- 
cherlei Gesehen- und Registriertwerden auf Filme aufgenommen wird, und 
damit reproduzierbar, ortsunabhängig und zeitunabhängig vorführbar wird, 
analysierbar, übermittelbar, kontrollierbar wird. 


Diese Beispiele können nun, so denke ich, nicht nur die ganze Spann- 
weite verdeutlichen, in welcher Weise Freiheit als Kontrolle über unsere 
Selbstdarstellung und Authentizität durch ungewollte Beobachtungen ge- 
stört werden kann, sondern damit auch eine weitergehende und allge- 
meine These verdeutlichen: der Schutz informationeller Privatheit ist des- 
halb so wichtig für Personen, weil es für ihr Selbstverständnis als auto- 
nome Personen konstitutiv ist, (in ihr bekannten Grenzen) Kontrolle über 
ihre Selbstdarstellung zu haben, also Kontrolle darüber, wie sie sich wem 
gegenüber in welchen Kontexten präsentieren, inszenieren, geben wollen, 
als welche sie sich in welchen Kontexten verstehen und wie sie verstan- 
den werden wollen, darum also auch, wie sie in welchen Kontexten han- 
deln wollen, wie sie ihre verschiedenen Identitäten jeweils inszenieren und 
präsentieren wollen. 


Wüsste man von jener Beobachtung, würde man sich gegebenenfalls an- 
ders verhalten, oder sich doch jedenfalls in dem Bewusstsein bewegen, 
dass man gefilmt wird. Und eben diese Differenz zeigt, dass hier mit der 
nicht gewussten und nicht gewollten Beobachtung eine Verletzung von 
Freiheit vorliegt; und es zeigt übrigens auch, dass man, wie im ersten Bei- 
spiel, von Verletzungen informationeller Privatheit im Sinne der Verletzung 
von Autonomie auch dann sprechen kann und sollte, wenn eine Person 
gegebenenfalls nie davon erfährt, dass sie beobachtet oder gefilmt wurde: 
denn ihr Verhalten war ein Verhalten "unter falschen Bedingungen", ein 
vermeintlich selbstbestimmtes Verhalten, vermeintlich nur deshalb, weil 
die Annahmen, von denen die Person ausging, falsch waren. 


Zur Erklärung, was mit der Verletzung informationeller Privatheit verletzt 
wird, greife ich also zurück auf die Begriffe von Freiheit und Autonomie 
und knüpfe damit an philosophische Theorien an (etwa von Benn und 
Westin), aber auch etwa an Entscheidungen des Bundesverfassungsge- 
richts, die ebenfalls einen engen Zusammenhang zwischen der Verletzung 
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informationeller Privatheit und der Möglichkeit individueller Freiheit se- 
hen.® 


Der Respekt für die Privatheit einer Person ist dann der Respekt für sie als 
einem autonomen Subjekt - das ist die entscheidende Einsicht. Wir müssen 
also generell, um uns selbstbestimmt verhalten zu können, daran glauben 
und davon ausgehen können, dass wir nicht beobachtet werden, be- 
lauscht, getäuscht über die Weitergabe und die Erfassung von Daten, über 
die Anwesenheit von Personen zum einen, und darüber, zum andern, was 
anwesende Personen von uns wissen und "wer" sie deshalb "für uns" sind. 
Aus dem gleichen Grunde nützt es nichts, wenn Personen wissen, dass sie 
beobachtet werden, oder dass Informationen über sie gespeichert werden, 
wenn sie nicht beobachtet oder auf diese Weise erfasst werden wollen - 
denn es ist dann genau die Tatsache, dass sie sich auf die Beobachtung 
und Kontrolle einstellen müssen, die sie daran hindert, selbstbestimmt, 
authentisch zu agieren. 


Kognitive und voluntative Symmetrie 


Dieser Schutz informationeller Freiheit gilt nun normativ in all den ver- 
schiedenen sozialen Kontexten, in denen wir uns bewegen, auf unter- 
schiedliche Weise: die Privatheit einer Person etwa im Freundes- oder 
Bekanntenkreis, also von bestimmten Anderen, muss anders geschützt und 
respektiert werden als die Privatheit von unbekannten und damit unbe- 
stimmten Anderen. Der Schutz von und der Respekt vor der Anonymität 
einer Person ist dann ein Sonderfall dieses Falles unbestimmter Anderer. 


Nun ist normalerweise der Schutz der informationellen Privatheit von Per- 
sonen in den verschiedensten Kontexten immer schon geregelt: durch ein, 
wie man sagen kann, Öffentlich-privates Gefüge von Wissenskontrolle - ein 
Wissen, das Personen haben und ein Wissen, das sie zeigen oder nicht 
zeigen. Die Berechtigung von Erwartungen an das Verhalten und das Wis- 
sen meiner Interaktionspartner liegt in der Geltung sozialer und rechtlicher 
Konventionen und Normen, die regeln, was jeweils als schützenswert und 
intim gilt, was als Schutzschild, der die Person vor öffentlicher Aufmerk- 
samkeit oder Kontrolle schützt. Diese Erwartungen werden also reguliert 
durch eine komplizierte, aber doch normalerweise relativ stabile Struktur 
sozialer und rechtlicher Normen und Konventionen, innerhalb derer wir 
uns bewegen und die unterschiedlichen Beziehungen, in denen wir leben, 
meistern können, unterschiedliche Beziehungen im Kreis bestimmter e- 
benso wie unbestimmter Anderer. 


Man kann nun dieses Gefüge von Erwartungen, Wissen und Verhalten 
auch beschreiben mit Hilfe der Begriffe der kognitiven und voluntativen 
Symmetrie: normalerweise wissen wir nämlich jedenfalls ungefähr, was 


6 Cf.Westin, a.a.O.; Stanley Benn, Privacy, Freedom, and Respect for Persons, in: Ferdinand 
Schoeman, ed., Philosophical Dimensions of Privacy: an Anthology, New York 1984; cf. auch 
die Argumentation des Bundesverfassungsgerichts im Urteil zum Volkszählungsgesetz von 
1983 BverfGE 65, 1 (43). 
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andere über uns wissen und welche Informationen wie und an wen ge- 
langen; und es ist eben eine solche kognitive Symmetrie, die genau die 
Spielräume und Bewegungsfreiheiten gewährleistet, die wir für ein Leben 
in Freiheit auch in komplizierten Informationsgesellschaften brauchen. 


Problematisch ist nun etwa an geheimen Videoüberwachungen und ande- 
ren Entwicklungen der panoptischen Gesellschaft die Infragestellung jenes 
sozialen, privatheitsschützenden Gefüges, und folglich die mögliche kog- 
nitive Asymmetrie zwischen Beobachtern und Beobachteten - das heißt: 
die Personen wissen nicht, dass sie beobachtet werden und haben keine 
Kontrolle darüber, was mit den gesammelten Daten passiert. Problematisch 
ist dann auch die dabei vermutete voluntative Asymmetrie: man kann mit 
guten Gründen davon ausgehen, dass die Personen auch nicht beobachtet 
oder erfasst werden wollen. Und selbst in Fallen kognitiver Symmetrie - 
die Beobachteten wissen, dass sie beobachtet werden, z. B. bei offener 
Videoüberwachung in Geschäften — muss man häufig davon ausgehen, 
dass eine voluntative Asymmetrie vorliegt, die schon deshalb die Überwa- 
chung problematisch oder jedenfalls extrem begründungsbedürftig macht. 


Personen haben also ohnehin immer Erwartungen daran, was andere über 
sie wissen können, wem sie wo auf welche Weise begegnen können, Er- 
wartungen, die die Möglichkeit von Freiheit wesentlich bestimmen. Des- 
halb kann man nun auch sehen, was der Unterschied ist zwischen der 
Deanonymisierung in der morgendlichen Bäckerei und der Deanonymisie- 
rung durch Überwachungskameras, die jedenfalls in dem Sinn stattfindet, 
dass ich die Erwartung hatte, nicht auf einem Film festgehalten worden zu 
sein. Die Bäckerin schränkt so wenig meine Freiheit ein, wie der Kollege, 
dem ich völlig unerwartet in der Fremde in einem Städtchen begegne, in 
dem ich eigentlich ganz allein und unbeobachtet sein wollte. Beides kann 
zwar ärgerlich und peinlich sein, gehört aber zur erwartbaren und erwar- 
teten Eigenart sozialer Kontexte, in denen wir uns bewegen. Deshalb ist 
das Recht auf Anonymität zwar ein für unsere Freiheit notwendiges Recht, 
aber doch ein deutlich zu spezifizierendes. 


Verletzt wird dieses Recht dann, wenn aus der allgemeinen kognitiven und 
voluntativen Symmetrie eine Asymmetrie wird: wenn ich nicht weiß, dass 
ich systematisch beobachtet und gefilmt werde und wenn ich dies aus 
guten Gründen auch nicht will. Ein Recht auf Anonymität wird also rele- 
vant dann, wenn die üblicherweise geltenden freiheitssichernden Konven- 
tionen beispielsweise durch den Gebrauch neuerer Technologien in Frage 
gestellt werden. Darauf verwies schon Alan Westin, eine der ersten Theo- 
retiker des Privaten im Informationszeitalter, der Anonymität als das dritte 
Stadium von Privatheit bezeichnet, nach denen der Einsamkeit und der 
Intimität: über Anonymität verfüge man, wenn man im Öffentlichen Raum 
Freiheit von Identifikation und Überwachung suchen und genießen kön- 
ne.’ Das Wissen oder die Angst, dass man unter Beobachtung sein könnte, 


7 Cf. Westin, a.a.O., p. 31. 
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zerstört, so Westin, genau diesen Sinn von Entspannung und Freiheit, die 
die Menschen im öffentlichen Raum suchen. 


Noch starker ist dies natürlich dann der Fall, wenn Überwachungskameras 
mittlerweile mit einer so intelligenten Software verbunden sind - was 
Westin 1967 noch nicht antizipieren konnte -, dass sie so genanntes devi- 
antes von so genanntem normalen Verhalten unterscheiden können. Deut- 
licher lässt sich die Funktion der Disziplinierung, der Normalisierung, die 
diese Form der Überwachung garantieren soll, nicht machen und deutli- 
cher könnte der Gegensatz zur Idee individueller Freiheit nicht sein. 


Gefahren für ein autonomes Leben 


Das Recht auf Anonymität ist also ein modernes Recht im eigentlichen 
Sinn: weil es erst entsteht und notwendig wird unter Bedingungen, die 
überhaupt eine Deanonymisierung, die ich nicht selbst in der Hand habe 
oder jedenfalls überblicken kann, möglich macht, also unter Bedingungen 
bestimmter technologischer Standards. 


Das macht auch noch einmal ein Blick auf die Differenz zwischen der 
antiken und modernen Freiheit deutlich: denn Freiheit in der antiken Polis, 
ist, sehr kurz gesagt, die Freiheit zu etwas — nämlich sich am politischen 
und sozialen Geschehen als bestimmte Person mit anderen bestimmten 
Personen zu beteiligen. Die Freiheit der Moderne ist dagegen die Freiheit 
von — von sozialen, gesellschaftlichen, staatlichen Eingriffen, die Freiheit, 
sich ohne diese Einschränkungen verhalten, die eigene Identität auf diese 
Weise gerade erfinden zu können. Identifizierung als Gegenteil der Ano- 
nymität schränkt eben diese Freiheit zur Erfindung gerade ein. Und es sind 
Privatheitsrechte gegenüber den verschiedenen Öffentlichkeiten von Staat 
und Gesellschaft, die diese Anonymität sichern müssen. 


Allerdings möchte ich auch den Hinweis darauf nicht unterdrücken, dass 
ein solches Recht auf Namenlosigkeit auch in der Moderne nicht ohne 
Ambivalenzen ist. Nicht nur wusste schon Simmel, der soziologische Theo- 
retiker der modernen Großstadt, dass das Revers der Freiheit die Einsam- 
keit ist auch den noch so eingefleischten Modernisten ist die Heimat- 
phantasie nicht fremd und die Sehnsucht nach dem Dorf, in dem jeder 
noch "den anderen beim Namen kennt." Doch dies sind natürlich Ambiva- 
lenzen, die die moderne Freiheit und ihre Lebensbedingungen im Ganzen 
treffen. 


Ich möchte nun nicht diese Ambivalenzen verfolgen, sondern in einem 
letzten Schritt noch die Gefahren zumindest benennen, die mit der Verlet- 
zung von Privatheits- und Anonymitätsrechten verbunden sind. 


Mit dem aufwendigen und systematischen Einsatz von surveillance-Kame- 
ras - und England ist da nur das unheilvollste Beispiel - ist nämlich, das 


8 cf. Georg Simmel, Die Großstädte und das Geistesleben, in: Georg Simmel, Aufsatze und 
Abhandlungen 1901-1908, Bd. 1, hg. v. R. Kramme e.a., Frankfurt/M. 1993, p. 126. 
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kann man nun auf dem Hintergrund des entwickelten Zusammenhangs 
zwischen Freiheit, Privatheit und Anonymität sehen, nicht nur eine Ein- 
schränkung individueller Freiheit verbunden. Sondern die Gefahr solcher 
und anderer Überwachungs- und Kontrollmechanismen liegt dann nämlich 
auch darin, dass Personen, gerade aufgrund einer strukturellen staatlichen 
oder gesellschaftlichen Geringschätzung des Schutzes informationeller 
Privatheit, ihre eigene Autonomie und Privatheit als nicht mehr so relevant 
begreifen: gerade der demokratische Rechtsstaat jedoch kann nur mit und 
von Personen leben, die ihrer eigenen individuellen Autonomie einen sehr 
hohen Stellenwert zubilligen. Wird die private Autonomie verletzt, trifft es 
letztlich auch die öffentliche Autonomie der Demokratie. Konflikte zwi- 
schen der notwendigen Aufgabe des Staates, seine Bürger und Bürgerin- 
nen vor Kriminalität zu schützen einerseits; und der Aufgabe des Staates, 
die individuelle Freiheit dieser Bürger und Bürgerinnen zu schützen ande- 
rerseits; solche Konflikte können natürlich in ihrer Realität nicht einfach 
bestritten werden. Doch sollten sie richtig beschrieben werden: stehen 
Freiheitsrechte und das Interesse an Autonomie auf der einen Seite, so 
muss für die Einschränkung dieser Rechte nicht nur ein gewichtiger Grund 
(wie etwa die Kriminalitätsbekämpfung), sondern auch ein hohes Maß an 
Effektivität bei der Erreichung dieses Ziels in Aussicht gestellt sein. Genau 
dies scheint jedoch (das zeigen offenbar die einschlägigen Untersuchun- 
gen) bei den surveillance-Kameras beispielsweise sehr unklar zu sein. 


Hierin also sollte man die eine Seite der Gefahr sehen; doch die Gefahr 
hat noch eine andere Seite: denn es wird in diesem ganzen weiten Feld 
der informationellen Privatheit deshalb besonders kompliziert, eindeutig 
von Konflikten und Verletzungen informationeller Privatheit zu sprechen, 
weil Personen zunehmend geneigt sind, je nach Kosten-Nutzen Verhältnis 
ihre Privatheit von sich aus aufzugeben, resp. zu verhandeln oder zu "ver- 
kaufen". Nicht nur verzichten alle, die im Internet surfen, mit Kreditkarten 
bezahlen, über Internet-Firmen bestellen etc. täglich und bereitwillig auf 
Bereiche ihrer Privatheit und damit auch Anonymität; einerseits hätte man 
also häufig Rechte und Möglichkeiten, auf mehr Privatheit zu bestehen, 
nimmt diese Rechte und diese Möglichkeiten aber nicht in Anspruch. Und 
auf der anderen Seite ist man nicht nur Opfer, sondern auch potentieller 
Täter; dass man dazu gegebenenfalls nur einen Computer, oder eine Vi- 
deokamera braucht, zeigen beispielsweise jene in den USA mittlerweile 
vollständig gebräuchlichen nannycams. 


Die Gefahren liegen also, und damit komme ich zum Schluss, zum einen 
im freiwilligen Verzicht auf informationelle Privatheit, zum anderen in der 
unfreiwilligen Kontrolle. Für problematisch kann, sollte, man beides darum 
halten, weil beides, die freiwillige wie die unfreiwillige Verminderung des 
Schutzes informationeller Privatheit dazu führen kann, dass bestimmte 
Formen und Dimensionen selbstbestimmten und authentischen Verhaltens 
nicht nur in geringerem Maße möglich werden, sondern auch als weniger 
relevant, weniger zentral, weniger konstitutiv für ein gelungenes Leben 
begriffen werden: das hieße dann nämlich auch, dass das Selbstverständnis 
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von Personen sich ändert, wenn und insoweit sie in wichtigen Hinsichten 
ihres Lebens darauf verzichten, unbeobachtet, unidentifizierbar, nicht zu- 
gänglich zu sein. Dies trifft dann jedoch nicht nur die Idee eines gelunge- 
nen - selbstbestimmten - Lebens, sondern wiederum die Idee der liberalen 
Demokratie: die nämlich auf autonome und sich ihrer Autonomie be- 
wusste und diese Autonomie schätzende Subjekte angewiesen ist. Ein 
Recht auf Anonymität, dies ist damit deutlich geworden, ist folglich auch 
ein Recht, das unmittelbar relevant ist für die Stabilität und das Gelingen 
der liberalen Demokratie. 


Anonymität - Erscheinungsformen und verfassungsrechtliche 
Fundierung ! 


Prof. Dr. Erhard Denninger 


1 Vorbemerkungen 


Die Sommerakademie 2002 führt den Titel: „Unser Recht auf Anonymität“. 
Damit wird die Antwort auf die mir gestellte Frage, ob es ein Recht auf 
Anonymität gebe, bejahend vorweggenommen. Ohne mich davon beein- 
flussen zu lassen, will ich versuchen, mich dem Thema kritisch prüfend zu 
nähern. 


Ich bin kein Experte des Informatik- oder des Datenschutzrechtes. Deshalb 
werde ich keinen spezifischen, informationstechnischen oder informations- 
rechtlichen Begriff von Anonymität zugrunde legen, sondern vom ganz 
gewöhnlichen Sprachgebrauch ausgehen. Natürlich bin ich mir dessen 
bewusst, dass Sie von mir am liebsten ganz genau wissen wollen, dass und 
warum und unter welchen Bedingungen Sie vollkommen sorglos, unbeo- 
bachtet und ohne von Cookies verfolgt zu werden, durchs Internet surfen 
dürfen. Doch werde ich Sie in dieser Hinsicht wohl enttäuschen müssen. 
Ich möchte die Frage der Anonymität aus einer breiteren und allgemeine- 
ren Problemsicht angehen, die auch Probleme erfasst, die nicht unmittelbar 
vom elektronischen Informationsverkehr bestimmt werden. Der so eröff- 
nete Problemhorizont reicht zum Beispiel vom demokratischen Wabhlge- 
heimnis über die polizeiliche Videoüberwachung bis zur Frage des ano- 
nymen Gebärens, die drastisch-realistisch mit dem Stichwort „Babyklappe“ 
angesprochen wird. 


2 Zu Begriff und Funktion von „Anonymität“. 


Die Sprache gibt erste Hinweise: „An-onymus“ ist der Namen-lose, aber 
auch, wie die Wörterbücher gleich hinzusetzen: der „Un-bekannte“, also 
einer (oder etwas), der (das) zwar einen Namen hat, den „man“ aber nicht 
kennt. Dieses „man“ ist ein relativer Begriff, der zeitlich und räumlich sehr 
verschiedene Umfänge haben kann. Ein Anonymus des 16. Jahrhunderts, 
dessen Werke wir heute im Museum bewundern, mag zu Lebzeiten sehr 
bekannt gewesen sein; heute ist er als Person völlig unbekannt, aber wir 
individualisieren und identifizieren ihn durch sein Werk, z.B. als „Meister 
der weiblichen Halbfiguren“ oder, einen anderen, als „Meister von Frank- 


1 Vortrag in der Sommerakademie 2002 des Unabhängigen Landeszentrums für Datenschutz 
Schleswig-Holstein. Die Vortragsform wurde beibehalten. 


H. Da umler et al. eads. j), Anonymität ım Internet 


KO opringel Fachmedien Wiesbaden 2003 
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furt“.? Gäbe es über ein Genie wie Francisco de Goya überhaupt keine 
persönlichen Daten mehr, wir würden ihn als „Meister der gelben Hosen“ 
oder „der gelben Westen“ oder „des Gelb“ schlechthin kennen, erkennen 
und verehren. Bekanntheit oder Unbekanntheit sind also situationsabhän- 
gig; Anonymität ist ein Relationsbegri ff. Jemand oder Etwas, dessen Name 
nicht nur unbekannt ist, sondern der oder das überhaupt keinen Namen 
hat, kann nicht als Subjekt erkannt, kann nicht identifiziert und kann nicht 
„auf den Begriff gebracht“ werden. Insofern bleibt fraglich, ob er oder es 
überhaupt existiert; jedenfalls ist mit ihm keine Kommunikation möglich.? 


Auf die komplexen Beziehungen zwischen „Name“, „önoma“, „nomen“ 
einerseits und „Wort“, „Bedeutung“ und „Begriff“ andererseits kann hier 
nicht näher eingegangen werden. Sage und Märchen spielen mit den hier 
auftauchenden Problemen. Das beginnt mit dem Neunten Gesang der 
Odyssee, wo Odysseus sich und die Seinen aus der Höhle des geblende- 
ten Polyphem rettet, indem er sich „Niemand“ nennt“, und führt hin bis zu 
„Rumpelstilzchen“, das seine dämonische Macht in dem Augenblick ver- 
liert, da die Königin, die ihr Kind retten will, den bösen Zwerg mit seinem 
richtigen Namen zu nennen vermag.” Anonymität kann Herrschaft bedeu- 
ten, Namensgebung, „Onomatisierung“ oder „Deanonymisierung“ (BVerf- 
GE 65,49) dagegen Entzauberung‘ und Bezwingung von Herrschaft. Jeden- 
falls eröffnet Namensgebung die Kommunikation ganz allgemein; auch 
dies lässt sich schon mit Homer belegen: Während onoma‘ damals im all- 
gemeinen Sprachgebrauch den Namen einer Person oder sonstige Ei- 
gennamen bezeichnete, verwendet der Dichter das Verb onomazein‘ im 
Sinne von „jemanden ansprechen‘, das „Wort an einen richten“ oder auch 
„jemandem Gaben verheißen“.® 


Umgekehrt kann Anonymität aber auch Freiheit von, Bewahrung vor Herr- 
schaft, und Abwehr von (normativen) Herrschaftsansprüchen bedeuten. 
Wer keinen Namen hat, kann nicht in identifizierbarer, das heißt auch, in 
treffsicher abgegrenzter und in durch beliebige Kommunikationsbeziehun- 
gen wiederholbarer Weise angesprochen werden. Der „große Unbekannte“ 
als krimineller Serientäter, der nicht nur im sprichwörtlichen „Schutze der 
Dunkelheit“, sondern auch im Schutze seiner Anonymität mordet oder 
erpresst, hinterlässt zwar individualisierbare, vielleicht auch eine bestimmte 
kriminelle „Handschrift“ verratende Spuren. Aber solange nicht zusätzliche, 
deanonymisierende Elemente - letztlich bis hin zum Eingeständnis der 
Tat(en) — hinzugewonnen werden können, bleibt der Zugriff auf eine be- 


2 Max J. Friedländer, Von van Eyck bis Bruegel, Köln 1965, Abb. 189, 190, bzw. 230-232. 

3 Insofern trifft freilich die Behauptung zu, die Wirklichkeit sei ein „soziales Konstrukt“, doch 
rechtfertigt dies noch nicht die unten, zu II., kritisierten Folgerungen. 

4 Odyssee, 9, 395 ff. 

5 Vgl. dazu E.Denninger, Informationszugang und Geheimhaltung, in: Simon/ Weiss (Hrg.), 
Zur Autonomie des Individuums, Liber Amicorum Spiros Simitis, 2000, S. 47 ff., 51 f. 


6 T.Borsche, „Name“ in: Ritter/ Gründer (Hrg.) Hist. Wörterbuch der Philosophie, Band 6, 
1984, Sp. 365. 
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stimmte Person verschlossen. Dies kann man z.B. an Methoden wie der 
Rasterfahndung gut beobachten: In Bezug auf die Kandidaten der schließ- 
lich positiv herausgefilterten Schnittmenge von Verdächtigen muss „indivi- 
duell“, mit „traditionellen“ Methoden weiter ermittelt werden. Unter der 
Voraussetzung, dass die Genomanalyse mit absoluter Sicherheit die Zu- 
ordnung eines Genoms zu einem und nur einem Individuum erlaubt - 
wenn man vom Fall eineiiger Mehrlinge einmal absieht -, kann man den 
individuellen Gen-Code als den Namen‘ eines Menschen ansehen, der im 
Falle der Speicherung seine Anonymität lebenslang beseitigt.” Ähnliches 
gälte von der Registrierung anderer konstanter biometrischer Merkmale 
(Iris, Gesichts- oder Handstruktur). 


Man versteht, dass für den perfektionistischen Präventions- und Sicher- 
heitsstaat die Versuchung groß ist, sich solche Kontrollmöglichkeiten zu- 
nutze zu machen.® Vor mehr als vierzig Jahren -— die Wunden der Nazi- 
Barbarei lagen noch schmerzlich offen zutage — gab es für Günter Dürig 
keinen Zweifel daran, dass es auch für den „modernen Staat letzte Sperren 
vor der verwaltungstechnischen - ...- „Entpersönlichung“ gibt“, die nicht 
durchbrochen werden dürfen. „So stieß etwa“, meint er, „ — in einer er- 
freulich sauberen Wertreaktion — die Beibehaltung der Fingerabdrücke auf 
Personalausweisen auf einhellige Ablehnung, obwohl sie (für die Polizei) 
durchaus „zweckmäßig“ gewesen wäre.“? An der „ureigensten biologischen 
und geistig-seelischen Intimsphäre des Menschen“ finde „auch das Staat- 
lich-Zzweckmäßige und Rationelle, es mag noch so gut gemeint sein, seine 
Grenze.“ Heute, kaum zwanzig Jahre nach der Etablierung des Rechts auf 
informationelle Selbstbestimmung im Volkszählungs-Urteil und trotz der 
feierlichen Proklamation der Grundrechte in der Europäischen Union, 
welche die Person in den Mittelpunkt ihres Handelns stellt,!? entlockt die 
Redeweise von einer „ureigensten Intimsphäre“ des Menschen den Kom- 
munikations- und Sicherheitsheitsexperten nur noch ein unwillig-gelang- 
weiltes Lächeln, während sie ungerührt darüber weiter diskutieren, ob und 
welche biometrischen Merkmale in digitalisierter verschlüsselter Form, also 
für den Bürger gar nicht lesbar, auf seinem Personalausweis Platz finden 
sollen und ob auch ein Nicht-EU-Ausländer das Recht haben soll, wenigs- 
tens auf Nachfrage zu erfahren, was alles über ihn auf seinem Per- 
sonaldokument verschlüsselt gespeichert ist.!! Was ist geschehen? Ist die 
Dürig sche „Person“ mit dem Terroranschlag vom 11. September 2001 


7 Zur Identifizierungsleistung des Genoms und den damit gegebenen Risiken vgl. Jens Georg 
Reich, Die Aufklärung des Human-Genoms und ihre menschen- und bürgerrechtlichen Fol- 
gen, in: v.Arnim/Deile u.a. (Hrsg.), Jahrbuch Menschenrechte 2003, 2002, S. 109 ff. 


8 Vgl. Gesetz zur Bekämpfung des internationalen Terrorismus, vom 9. 1. 2002, BGBl. I, S. 
361 ff., Art. 8 Nr. 1 und 2. Zur Kritik vgl. E.Denninger, Freiheit durch Sicherheit? Wieviel 
Schutz der inneren Sicherheit verlangt und verträgt das deutsche Grundgesetz’, Kritische 
Justiz, Jg. 35, Heft 4, 2002. 

9 G.Dürig, in Maunz/Dürig, GG Kommentar, Art. 1 Abs.1 Rdn.37 (1958), auch das Folgende. 
10 präambel der EU-Charta der Grundrechte, 2. Absatz. 


ll Dazu: E. Denninger, Freiheit durch Sicherheit? Anmerkungen zum Terrorismusbekämpf- 
ungsgesetz, StV 22 (2002) Heft 2, 96, 100. 
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einfach untergegangen? Ist, wer noch in Kategorien von individueller Men- 
schenwürde, Persönlichkeitsentfaltung und Eigenverantwortung denkt, 
hoffnungslos antiquiert? Erst ungläubig, dann entsetzt, liest man über einen 
angesehenen US-amerikanischen Verfassungsrechtler und Rechtsanwalt, 
der dafür plädiert, präventiv zur Abschreckung die Eltern und Geschwister 
mutmaßlicher und potentieller palästinensischer Selbstmordattentäter um- 
zubringen.!? Grauenvolle Erinnerungen an die „Sippenhaft“ unter dem NS- 
Regime werden wieder wach. 


Man mag hier einwenden, solche extremen Überlegungen und Vorschläge 
hätten mit dem Thema „Recht auf Anonymität“ rein gar nichts zu tun? Ich 
bin anderer Meinung; ich sehe durchaus den Zusammenhang bei der Fra- 
ge nach der Konstitution, nach der kommunikativen Wirkungsweise und 
der Verantwortlichkeit der individuellen Person. Darauf ist zurückzu- 
kommen. Zunächst bedarf die Beschreibung möglicher Funktionen von 
Anonymität einiger Ergänzungen. 


Wir unterscheiden historische, institutionelle und gewillkürte Anonymität. 


Von der historischen Anonymität war bereits die Rede. Sie resultiert aus 
einer unsicheren oder unvollständigen Quellenlage, die ihrerseits Ausdruck 
des Interesses einer Gesellschaft an der eigenen Geschichte ist. Das Maß 
und die selektive Qualität des kollektiven Vergessens, das eine Gesellschaft 
in einer bestimmten Epoche sich leistet, bestimmen auch über das Maß an 
individueller Anonymität, an Selbstvergessenheit, das sie erträgt. Das kann 
schwere Identitätskonflikte heraufbeschwören. Ein noch halbwegs ver- 
söhnliches Ende finden diese, wenn man, wie Pirandellos fu Mattia Pascal‘ 
sich nach dem Scheitern der Suche nach einer neuen Identität schließlich 
damit begnügen kann, an seinem eigenen Grab Blumen niederzulegen.!? 


Dieses Beispiel lässt ebenso wie die erwähnten Fahndungsmethoden er- 
kennen, dass die Anonymitätsproblematik sich längst nicht in der Frage 
„richtiger“, das heißt biographisch durchgehaltener Namensgebung er- 
schöpft. Sie ist vielmehr, ähnlich wie die Frage der Pseudonymität, die 
man als einen Spezialfall der Anonymität betrachten kann, sehr häufig nur 
im Zusammenhang mit einer Identitätsproblematik und, pragmatisch be- 
trachtet, mit einer Zurechnungs- oder Nichtzurechnungsproblematik zu 
verstehen. Beispiele mögen dies erläutern. Jede ausdifferenzierte Gesell- 
schaft hat einen funktionsspezifischen Bedarf an Zurechnung, aber auch 
an Nichtzurechnung. Wird Ersterer mit Hilfe von Kategorien wie „Kompe- 
tenz“ und „Verantwortlichkeit“ gesteuert, so kann Letzterer durch die In- 
stitutionalisierung von — relativer -— Anonymität befriedigt und wirksam 
erhalten werden. Das erste Beispiel betrifft die Rolle des Wählers bei de- 
mokratischen Wahlen, deren Ziel die Hervorbringung politischer Funkti- 
onseliten nach Maßgabe der im Wahlvolk‘ verbreiteten Programmpräferen- 


12 ķ, Gelinsky, in: Frankfurter Allgemeine Zeitung vom 27. Juli 2002, Nr. 172, S. 8 


13 L, Pirandello, Il fu Mattia Pascal, 1904. Dazu: H. Weinrich, Lethe. Kunst und Kritik des 
Vergessens,1997, S. 194 ff. 
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zen und Sympathiewerte ist. Dabei soll die Geheimbeit der Stimmabgabe, 
also die relative Anonymität des Wählers bezüglich des Inhalts der Wahl- 
entscheidung, (denn die Tatsache der Teilnahme an der Wahlhandlung 
wird registriert !) den Wähler davor schützen, dass die Art seiner Entschei- 
dung in anderen gesellschaftlichen Zusammenhängen, z.B. im Arbeitsver- 
hältnis, verantwortet werden muss; und zugleich erreicht, wie N. Luhmann 
hervorhebt, der politische Entscheidungskontext „auf diese Weise eine 
gewisse Autonomie und Indifferenz gegenüber anderen Bereichen der 
Gesellschaft“.1% 


Andere Beispiele der Einschränkung persönlicher Zurechnung durch rela- 
tive Anonymisierung dienen, anspruchsvoll gesagt, der Autonomie des 
Systems Wissenschaft. Dazu zählen die Korrektur und Bewertung schriftli- 
cher akademischer Prüfungsleistungen unter einer verschlüsselnden Kenn- 
ziffer, die der Prüfer nicht auflösen kann, ebenso wie die Begutachtung 
der Förderungswürdigkeit von Forschungsvorhaben durch ausgewählte 
Fachkollegen, die jedoch dem Antragsteller unbekannt bleiben. Mag bei 
der Prüfungsanonymität auch der Gesichtspunkt der möglichst gerechten 
Gleichbehandlung eine wesentliche Rolle spielen, so stehen bei der For- 
schungsbegutachtung, etwa im Rahmen der Deutschen Forschungsgemein- 
schaft, der Schutz der Gutachter und die Lauterkeit des wissenschaftlichen 
Urteils im Vordergrund. Mit dem Förderungsantrag soll „die Sache Wissen- 
schaft selbst“ zu Gehör kommen und Gehör finden, nicht etwa persönliche 
Sympathien oder Antipathien. Wenn dies zutrifft, wäre es allerdings kon- 
sequent, die Begutachtungsverfahren in symmetrischer Anonymität auszu- 
gestalten, also auch die Fachgutachter über die Person des Antragstellers in 
Unkenntnis zu halten, was freilich, fachlich unterschiedlich, auf praktische 
Grenzen stößt. Elemente institutioneller Anonymität finden sich auch in 
der Wahrung des richterlichen Beratungsgeheimnisses, §§ 43 45 DRIG. 
Dessen Begründung im Einzelnen nachzuspüren, verbietet sich an dieser 
Stelle. 


Von der historischen und der institutionellen hebt sich nunmehr die ge- 
willkürte Anonymität ab; allein in Bezug auf sie macht die Frage nach 
einem subjektiven Recht, gar einem Grundrecht, Sinn. Von gewillkürter 
Anonymität ist mit Bezug auf Verhaltensweisen und Handlungen zu spre- 
chen, deren Autor entweder davon ausgeht und ausgehen kann, dass er 
dabei unbeobachtet bleibt oder zwar wahrgenommen wird, aber uner- 
kannt bleibt, oder aber, weil er mit Beobachtung und Identifizierung rech- 
net, entsprechend gegensteuernde Vorkehrungen trifft. Die Prominenten 
früherer Jahrhunderte, Künstler oder Monarchen, liebten es, anders als die 
heutigen, incognito zu reisen, um, wie Harun ar Raschid, demoskopische 


14 5 N.Luhmann, Legitimation durch Verfahren, 1969, S. 160. Ist es Zufall oder Kalkül, so 
muss man fragen, dass gerade jetzt, so kurz vor der Bundestagswahl in einem Leitblatt der 
bürgerlichen Presse die alten Argumente eines J. St. Mill gegen die Geheimheit der Wahl 
wieder ausgegraben werden? Vgl. J. Kaube, „Bürger, wählt anständig!“, Frankfurter Allge- 
meine Sonntagszeitung vom 11. 8. 2002, Nr. 32, S. 52. 
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oder, wie der „Kalif Storch“ im Märchen, ornithologische Studien zu trei- 
ben oder auch nur, um in Ruhe zu genießen. Wie prekär die Chancen der 
„schönen und Reichen“ heute sind, ihre „Anonymität“ herzustellen, zeigen 
die Bildergeschichten aus dem Alltag der Prinzessin Caroline von Monaco, 
bei denen der Bundesgerichtshof und das Bundesverfassungsgericht sich 
redlich abgemüht haben, Kriterien für die Abgrenzung der schützenswer- 
ten und schutzbedürftigen Privatsphäre von der dem Publikum und damit 
den seine Neugier befriedigenden Publikationen zugänglichen Sphäre des 
Öffentlichen zu finden.!? 


Hier bleibt zunächst, vor aller rechtlichen Würdigung, festzuhalten, dass 
wir, um die Fälle des Nichterkanntwerdens ebenso wie die Modalitäten 
des Nichtbeobachtetwerdens zu erfassen, einen weiten Begriff von (gewill- 
kürter) Anonymität zugrunde legen: Ihm sollen in der eingangs umschrie- 
benen situativen und personalen Relativität alle Kommunikationsbarrieren 
unterfallen, die jemand errichtet oder sich zunutze macht, um in bestimm- 
ten Kommunikationsbeziehungen Elemente seiner Identität zu eliminieren 
oder abzuschwächen oder sie im Gegenteil zu akzentuieren oder anders 
zu konfigurieren. So gesehen ist auch die Wahl eines Pseudonyms, unter 
dem man als Künstler bekannt und berühmt werden möchte, ein Akt der 
Anonymisierung, der aber als solcher zur Identität der Person gehört. 


Anonymität, „Person“, „Kommunikation“ und „informationelle 
Selbstbestimmung“ 


Verfassungsrechtler, Medienrechtler, Datenschützer und Polizeirechtler sind 
es gewohnt, Probleme der Kommunikationsfreiheit wie ihrer Beschrän- 
kung und Überwachung von den verfassungsrechtlichen Rahmenkatego- 
rien wie „Menschenwürde“, „allgemeines Persönlichkeitsrecht“, „Recht auf 
informationelle Selbstbestimmung“, „Schutz der Privatsphäre“, „Gewissens- 
freiheit“, „Kommunikationsfreiheit“, „Rezipientenfreiheit“ (also Art. 1 Abs.1, 
auch in Verbindung mit Art. 2 Abs.1, Art. 5 Abs. 1 und 2, und spezieller: 
Art. 4, eventuell auch 8 und 9 GG) her anzugehen. Bevor wir uns diesem 
unerlässlichen Ordnungsgeschäft unterziehen, erscheinen jedoch einige 
grundsätzliche Begriffsklärungen am Platze. 


Insbesondere sind seit einigen Jahren im Verhältnis der Begriffe „Persön- 
lichkeit“, „Kommunikation“ und „soziale Umwelt“ zueinander, zur Ent- 
wicklung und Gewährleistung der personalen Identität, zu Selbst- und 
Fremddarstellung Gewichtsverschiebungen zu beobachten, die Anlass zu 
Besorgnis geben und nicht ohne Klärung und Widerspruch bleiben kön- 
nen. Dies erscheint umso dringender, als eine bereits vor dem 11. Septem- 
ber 2001 auf der Basis eines veränderten kommunikationstheoretischen 
Ansatzes entwickelte „Sicherheitsphilosophie“ das als staatliche Hand- 
lungslegitimation begriffene „Grundrecht auf Sicherheit“ als Gegenpol zum 


15 Vgl. BVerfGE 101, 361, bes. 380 ff., Urteil vom 15. 12. 1999. 
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Recht auf informationelle Selbstbestimmung beschreibt und entfaltet!®. 
Dabei soll dann als dessen Schutzgut nicht mehr der Einzelne oder die 
Person anerkannt werden, sondern nur noch die „manipulationsfreie 
Kommunikation“.!?” Das Recht auf informationelle Selbstbestimmung darf 
in dieser, etwa von Josef Aulehner vorgetragenen Sichtweise nicht mehr als 
ein „Anspruch auf eine manipulierte Selbstdarstellung (miss-)verstanden 
werden, sondern umfasst [nur] ein Recht auf manipulationsfreie Fremddar- 
stellung.“!® Über die sicherheitspolitischen Konsequenzen eines solchen 
Ansatzes in der Ära nach dem 11. September, wenn der Staat ein Sicher- 
heitspaket nach dem Anderen zu schnüren beginnt, braucht man nicht 
lange zu spekulieren; der genannte Autor erklärt sich deutlich genug. Das 
„Grundrecht auf Sicherheit“, welches die Staatsaufgabe „Sicherheit“ kon- 
stituiert, verlange heute eine „umfassende Risikosteuerung“ (565). Damit 
wird der Begriff der „Gefahrenvorsorge“ zum umfassenden, die staatliche 
Gefahrenabwehr miteinschließenden Begriff polizeilicher Risikosteuerung. 
Diese setzt aber eine ebenso umfassende staatliche Informationsvorsorge 
voraus. Sowohl der Einzelne als auch die Allgemeinheit hätten ein existen- 
zielles Interesse daran, „dass jedenfalls die Informationen kommuniziert 
werden, die eine Individualisierung — die nicht notwendigerweise mit der 
Aufhebung der Anonymität verbunden sein muss — der jeweiligen Person 
nach den Erfordernissen der konkreten Situation ermöglichen.“(567) Aus 
seinen Prämissen, dass, wie die Wirklichkeit überhaupt, auch die „Person“, 
ja, der „Mensch“(277), ebenso wie die „Sicherheit“ kommunikativ konsti- 
tuiert werden (552), folgert Aulehner, dass nicht das Recht auf informati- 
onelle Selbstbestimmung, sondern die Informationsfreiheit als Regelfall 
zugrunde zu legen sei. Nicht die Informationsfreiheit, sondern die Infor- 
mationsbeschränkung bedürfe der Rechtfertigung(487, 567). Informati- 
onsfreiheit meint hier aber den grundsätzlich ungehinderten, freien Infor- 
mationsfluss; Privatsphärenschutz und Datenschutz gelten dagegen als 
einseitige Konzepte, als Informations- und Kommunikationsschranken, die 
bei der "Informationssystemgestaltung“ die Belange des „Systembetreibers“ 
vernachlässigen (302). 


Im Zusammenhang unserer Frage nach dem „Recht auf Anonymität“ inte- 
ressieren hier weniger die leicht zu extrapolierenden datenschutzrechtli- 
chen Einzelfolgerungen als vielmehr die grundlegenden Konsequenzen: 
Wenn die Person nur ein „soziales Konstrukt“ ist, wenn der Mensch nur in 
seiner Darstellung als Interaktionspartner Individualität gewinnt (552), 
wenn seine Identität „umfassend in gesellschaftlichen Prozessen geformt, 
bewahrt, verändert und neu geformt wird“ (553), wenn das Recht auf in- 
formationelle Selbstbestimmung deshalb nur einen Anspruch auf „mani- 


16 Hierzu und zum Folgenden: J. Aulehner, Polizeiliche Gefahren- und Informationsvorsorge, 
1998, S.428 ff., 442 ff. 


17 Derselbe, a.a.O., S. 557. Die folgenden Zahlen im Text geben Seitenzahlen in diesem Buch 
an. 


18 Derselbe, a.a.O., S. 553. 
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pulationsfreie Fremddarstellung“ (wer soll darüber entscheiden, was „Ma- 
nipulation“ ist?) geben soll, weil jede irgendwie intrinsisch gesteuerte 
Selbstdarstellung von außen als „manipulierte“ erscheinen muss, dann wird 
nicht nur der Grundsatz des Volkszählungsurteils, dass das Grundrecht die 
Befugnis des Einzelnen gewährleiste, „grundsätzlich selbst über die Preis- 
gabe und Verwendung seiner persönlichen Daten zu bestimmen“!?, aufge- 
hoben oder in sein Gegenteil verkehrt, sondern dann wird es sinnlos, wei- 
ter über die Möglichkeit gewillkürter Anonymität nachzudenken, weil de- 
ren personales Substrat kommunikativ „verflüssigt“ und damit als eigen- 
ständiges zum Verschwinden gebracht wird. Ebenso sinnlos wird es dann 
aber auch, und das sollte zu denken geben, von der Autonomie und der 
Eigenverantwortlichkeit der Person zu sprechen. Eine Theorie, die mit 
diesen Begriffen nichts anzufangen weiß, sollte dies kenntlich machen und 
ihren Geltungsanspruch dementsprechend reduzieren. 


Versucht man, die Kernpunkte dieser nicht auf Aulehner begrenzten, son- 
dern an Boden gewinnenden?”, sich extrem systemtheoretisch gebenden 
Kritik an personalen, mithin handlungsbezogenen Kommunikationstheo- 
rien, auch an der des Bundesverfassungsgerichts, herauszuschälen, so stößt 
man, abgesehen von dem merkwürdig verabsolutierten Kommunikations- 
begriff, vor allem auf zwei wiederkehrende Topoi: Der Erste betrifft die 
angebliche Aufspaltung der Identität des Individuums in eine personale, 
durch „Rückzug“ in die Privatsphäre, Vertrautheit und Vertraulichkeit, ja 
„Isolation“ gegen außen geprägte Komponente und in eine „soziale Iden- 
tität“21. Es trifft zwar zu, dass beispielsweise Schmitt Glaeser diese beiden 
Aspekte von Identität als unterscheidbare Fallgruppen in der Rechtspre- 
chungsanalyse heraushebt, doch setzt er sich entschieden gegen eine 
„hartleibige“ Sonderung der beiden Gruppen voneinander zur Wehr und 
begründet dies sehr plausibel unter Berufung auf Döbert, Habermas und 
Nunner-Winkler mit der Funktion der Ich-Identität des Erwachsenen ge- 
genüber den an diesen gestellten auch inkompatiblen Rollenerwartun- 
gen.?? Der entscheidende Punkt ist, dass das erwachsene Ich „seine Identi- 
tät sozusagen hinter die Linien aller besonderen Rollen und Normen zu- 
rücknehmen und allein über die abstrakte Fähigkeit stabilisieren [muss], 
sich in beliebigen Situationen als derjenige zu präsentieren, der auch ange- 
sichts inkompatibler Rollenerwartungen und im Durchgang durch eine 
lebensgeschichtliche Folge widersprüchlicher Rollensysteme den Forde- 
rungen nach Konsistenz genügen kann.“23. Ein Ich oder eine Person, die 
darauf verwiesen werden, sich als Interaktionspartner ausschließlich aus 


19 BVerfGE, 65, 1, 43. 
20 Vgl. etwa G. Duttge, Recht auf Datenschutz, Der Staat 36 (1997) 281 ff., bes. 302 ff. 
21 J. Aulehner, a.a.O., S. 391 ff., 553. 


22 W. Schmitt Glaeser, in: HbStR VI, 2. Aufl. 2001, $ 129, Schutz der Privatsphäre, Rdn.32. 
Dort wird zitiert: R.Döbert/ J. Habermas / G. Nunner-Winkler, Entwicklung des Ichs, 1977, S. 
11. 


23 Döbert /Habermas/ Nunner-Winkler, s. vorige Note. 
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„manipulationsfreien Fremddarstellungen“ zu konstituieren, werden gerade 
diese Konsistenzleistung nicht erbringen können. 


Der Zweite, gegen die als „Fehlentwicklung“ (557) apostrophierte Recht- 
sprechung des BVerfG vorgebrachte Topos der Kritik betrifft das angebli- 
che Fehlverständnis des Rechts auf informationelle Selbstbestimmung als 
ein eigentumsähnliches subjektives Herrschaftsrecht über die eigenen per- 
sonbezogenen Daten. Diese Kritik gipfelt in der Leugnung eines eigen- 
ständigen Grundrechts auf Datenschutz. Es wäre eine reizvolle Aufgabe, 
die allerdings wesentlich mehr als die mir hier eingeräumte Zeit erforderte, 
die Haltlosigkeit jener verdinglichenden Eigentumsanalogie ebenso wie die 
Haltlosigkeit ihres Vorwurfs gegenüber der Verfassungsrechtsprechung 
Punkt für Punkt aufzuzeigen. Ich muss mich mit der Feststellung begnü- 
gen, dass das BVerfG zwar stets das Recht auf Selbstdarstellung in kontext- 
abhängig unterschiedlichen Formulierungen betont, aber immer auch dem 
begründeten Interesse an Fremddarstellung zugunsten der Allgemeinheit 
oder auch Dritter Raum gegeben hat. Das gilt für alle hier einschlägigen 
Entscheidungen, beginnend etwa mit dem Lebach-Urteil 1973 - : grund- 
sätzliche Verfügungsmacht jedermanns über öffentliche Darstellung seines 
Lebensbildes insgesamt oder bestimmter Vorgänge?’ — das geht weiter mit 
dem Eppler-Beschluss 1980 : das „Ureigene,“ „Nicht-Vertretbare“ als schüt- 
zenswerter konkreter Gehalt des Persönlichkeitsrechts, daher Maßgeblich- 
keit der „Selbstdefinition“?° - sowie mit dem Beschluss zum Anspruch auf 
Gegendarstellung 1983: Selbstbestimmung des Einzelnen über die Darstel- 
lung der eigenen Person.?’ 


Nirgends wird in diesen Urteilen die Darstellung durch Dritte einfach aus- 
geschlossen, sie wird nur an bestimmte Voraussetzungen gebunden. Es ist 
gut, dass das Gericht diese seine Position in der Prinzessin Caroline-Ent- 
scheidung noch einmal klar formuliert hat: „Ein allgemeines und umfas- 
sendes Verfügungsrecht über die Darstellung der eigenen Person enthält 
Art. 2 Abs.1 in Verbindung mit Art. 1 Abs.1 GG ...nicht.“ Das allgemeine 
Persönlichkeitsrecht verleiht „dem Einzelnen nicht den Anspruch, nur so 
von anderen dargestellt zu werden, wie er sich selber sieht oder gesehen 
werden möchte.“?® Das Ergebnis ist mithin so, wie es in einer auf freie 
Kommunikation gegründeten Gesellschaft und ihrer Verfassung?” vernünf- 
tiger Weise auch gar nicht anders sein kann: Jeder hat das Recht auf 


24 Außer Aulehner vgl. auch Duttge, a.a.O., 307 f. 


25 BVerfGE 35, 202, 220. Ebendort heißt es aber weiter: “Wenn der Einzelne als ein in der 
Gemeinschaft lebender Bürger in Kommunikation mit anderen tritt,...und dadurch die per- 
sönliche Sphäre von Mitmenschen oder Belange des Gemeinschaftslebens berührt, können 
sich Einschränkungen seines ausschließlichen Bestimmungsrechts über seinen Privatbereich 
ergeben, soweit dieser nicht zum unantastbaren innersten Lebensbereich gehört.“ 

26 BVerfGE 54, 148, 156. Ebendort wird auf die rechtlich zulässige Möglichkeit der Divergenz 
zwischen „Selbstdefinition“ des sozialen Geltungsanspruchs einer Person und einer auf Art. 5 
Abs.1 GG gestützten Fremddarstellung hingewiesen. 

27 BVerfGE 63, 131, 142. 

28 BVerfGE 101, 361, 380. 


29 Vgl. schon BVerfGE 7, 198, 208, (Lüth). 
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„Selbstdarstellung“ und damit auch das grundsätzliche Entscheidungsrecht 
darüber, welche Daten und Darstellungselemente er der Öffentlichkeit 
preisgeben will.30Jeder hat aber auch - in den gesetzlichen Grenzen des 
Ehrenschutzes usw. — das Recht zur „Fremddarstellung“. A hat nicht das 
Recht, von B zu verlangen, dass B ihn/sie (A) nur so darstellt, wie es A 
gefällt. Aber A, der/die etwas anderes ist, als nur die Summe aller Fremd- 
darstellungen von B bis X, muss die doppelte Chance haben, sich aus 
allen partikulären Fremdbeziehungen herausnehmen und in einen als "Pri- 
vatheit" bezeichneten Raum der „Selbst-Findung“ zurückziehen zu können, 
um von dort aus Strategien der Einwirkung auf Dritte zur Beeinflussung 
der „Fremddarstellungen“ in dem von ihm/ihr gewünschten Sinne entwi- 
ckeln zu können. 


Das ist keine „Manipulation“, sondern eine Grundbedingung autonomer 
Lebensgestaltung. Das ist eine notwendige Funktion der Privatheit; es ist 
die oben beschriebene Identitätsbildung durch Rücknahme hinter die Linie 
aller besonderen Rollen oder Normen; und es ist die etwa von Beate Röss- 
ler in ihrer Studie über den „Wert des Privaten“ entwickelte Konzeption 
der autonomen Person, die „sich von und auch noch in Beziehungen dis- 
tanzieren“ können muss, die „in all diesen Beziehungen Zurückhaltung 
beanspruchen kann und auf diese Zurückhaltung angewiesen ist.“31 Diese 
Möglichkeit und Fähigkeit zur „Distanznahme‘, zur Bildung und Wahrung 
von Kommunikationsbarrieren, ist das Wesentliche der Anonymität. 


Rechtsdogmatische Einordnung, ungelöste Probleme. 


Ihre rechtsdogmatische Einordnung als ein Teilaspekt des allgemeinen 
Persönlichkeitsrechts gemäß Art. 2 Abs.1 in Verbindung mit Art. 1 Abs. 1 
GG sichert die Anbindung an eine ausdifferenzierte Judikatur. Doch ist 
zum Schluss darauf hinzuweisen, dass faktische Behinderungen der Ano- 
nymität der Rezipienten in elektronischen Kommunikationsvorgängen, sei 
es durch das Setzen so genannter „cookies“, sei es durch den Einsatz von 
„IMSI-Catchern‘,32 auch als Beschränkungen der Rezipientenfreiheit nach 
Art. 5 Abs. 1 GG grundrechtsthematisch sind. 


Neue Technologien zwingen dazu, die rechtlichen Grenzen der Anonymi- 
sierung stets auf neue zu bedenken. Dies gilt für die Konsequenzen der 
neuen IuK-Technologien ebenso wie für solche der Reproduktionsmedi- 
zin. Aber auch uralte Phänomene wie die Aussetzung von Neugeborenen 
werfen neue Probleme auf. „Babyklappe“ und „anonyme Geburt“ (richtig 
auch: “anonymes Gebären“) lauten hier einschlägige Stichwörter einerseits, 


30 BVerfGE 65, 1, 43. 
31 Beate Rössler, Der Wert des Privaten, 2001, S. 193. 


32 Vgl. W. Hoffmann-Riem in AK-GG, Art. 5 Abs.1,2, 3. Aufl. 2001, Rdn.102; J. Bizer, Nach- 
frage nach Sicherheit — Privater Vertraulichkeitsschutz und staatliche Sicherheitspolitik in der 
Telekommunikation, in: Bizer/Koch (Hrsg.), Sicherheit, Vielfalt, Solidarität. Ein neues Para- 
digma des Verfassungsrechts? 1998, S. 29 ff.,38. 
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aber andererseits auch: „Die Kinder von der Samenbank“3?. Herzzerrei- 
ßende Geschichten und Erfahrungsberichte schreien nach seriöser, wissen- 
schaftlicher Aufmerksamkeit für die offenen Fragen. Vielleicht in einer 
weiteren Sommerakademie an diesem schönen Ort? 


33 Zum ersten Thema: S. Benöhr / I. A. Muth, „Babyklappe“ und „Anonyme Geburt“, KJ 34 
(2001), 405 ff., sowie DER SPIEGEL Heft 23 / 2002, 166 ff. „Ein Gefühl wie nie geboren“. 
Zum zweiten: DER SPIEGEL Heft 31 / 2002, 86 ff. Die Kinder von der Samenbank. 


Das Recht auf Anonymität als Eckpfeiler einer offenen Gesellschaft 


Dr. Alexander Dix 


"Es gibt genügend gute Gründe, anonym 
bleiben zu wollen." (Scott Charney, früher 
US-Justizministerium, gegenwärtig Chief 
Security Officer, Microsoft) 


1 Einleitung: Gyges und sein Ring 


Es klingt zunächst paradox, ein Recht auf Anonymität als wesentliches 
Element einer offenen Gesellschaft zu bezeichnen!. “Anonymität” erscheint 
geradezu als Gegenteil von Offenheit. Wer mit “geschlossenem Visier” 
auftritt, veranlasst andere häufig dazu, auch ihr Visier herunterzulassen, 
also eine bisher praktizierte Offenheit sicherheitshalber - zumindest zu- 
nächst — aufzugeben. Anonymität wird häufig mit kriminellen Absichten 
oder Machenschaften assoziiert. 


Diese Grundannahme hat Platon in der Geschichte vom Ring des Gyges 
illustriert”. Nach der Schilderung des Glaukon fand der Hirte Gyges einen 
Ring, mit dessen Hilfe er sich unsichtbar machen konnte. Gyges setzte den 
Ring ein, um den König zu ermorden und sich selbst zum Herrscher zu 
machen. Platon stellt anhand dieses Beispiels die Frage, wie ein Gerechter 
und ein Ungerechter — jeweils im Besitz eines solchen Gyges-Ringes - sich 
verhalten würden. Nach Platons Überzeugung werden beide zu Verbre- 
chern, weil kein Mensch (von Natur aus) sich die Möglichkeit entgehen 
ließe, Unrecht zu tun, wenn er es ungestraft tun könne. Niemand ist nach 
dieser philosophischen Grundhaltung freiwillig gerecht, sondern nur, weil 
ihn die Furcht vor Bestrafung davon abhält, kriminell zu werden?. 


Karl Popper hat nachgewiesen, dass Platons "Staat", dem dieses Men- 
schenbild zugrundeliegt, das diametrale Gegenteil einer offenen Gesell- 
schaft ist, weshalb er Platon zu deren Feinden zählt*. Tatsächlich ergeben 
sich erschreckende Parallelen zwischen Platons idealtypischer Vorstellung 
einer anzustrebenden Staatsform und totalitären Systemen gerade auch des 


l Vgl. oben Rost, S. 62 ff. 

2 Der Staat, 359C-360B 

3 Eine vergleichbare Grundeinstellung findet sich später auch bei Thomas Hobbes (Leviathan, 
1651) 

4 Die offene Gesellschaft und ihre Feinde, Bd. 1, Der Zauber Platons, 7. deutsche Auflage 
1992 
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20. Jahrhunderts. Das soll hier nicht im Einzelnen ausgeführt werden. Es 
sei nur auf die im platonischen Staat vorgesehenen massiven Eingriffe in 
den familiären Bereich bis hin zur Züchtung einer menschlichen Elite und 
zur Festlegung von Zeugungszeiten verwiesen?. Im Folgenden wird aber 
(anhand von konkreten Beispielen) der Zusammenhang zwischen einem 
Recht auf Anonymität und den Grundlagen einer offenen, rechtsstaatlich 
verfassten Gesellschaft untersucht. Dabei sind auch Grenzen eines Rechts 
auf Anonymität aufzuzeigen. Die erheblichen Schwierigkeiten bei der 
Durchsetzung des Rechts auf Anonymität bei der Nutzung des Internets 
werden im Rahmen dieses Beitrages ausgespart, aber an anderer Stelle 
behandelte. 


Absolute Anonymität ist in einer modernen Gesellschaft nicht realisierbar. 
Jeder Mensch lebt in einer Vielzahl von Zusammenhängen und kann sich 
der Kontaktaufnahme mit anderen Menschen oder auch mit Behörden 
(Beispiel: Meldepflicht) nicht völlig entziehen. Allerdings entwertet diese 
relativierende Erkenntnis nicht das Recht auf Anonymität. Dieses soll den 
Einzelnen davor schützen, sich identifizieren zu müssen, ohne dass der 
Gesetzgeber dies für ganz bestimmte Ausnahmesituationen in verfassungs- 
konformer Weise angeordnet hat. 


Allerdings ist zu unterscheiden zwischen dem Sich-zu-erkennen-Geben 
einerseits und der verordneten (zwangsweisen oder technisch — z.B. im 
Internet - erzeugten) Identifikation. Wer eine Buchhandlung betritt, tut dies 
mit „offenem Visier“, er gibt sich also zu erkennen. Er wird sich aber nicht 
ohne weiteres namentlich vorstellen und im Geschäft wird ihn auch so- 
lange niemand nach seinem Namen fragen, wie er kein Buch bestellt und 
benachrichtigt werden will, wenn es eingetroffen ist. Auch in der Situation 
der Beichte oder in säkularen Hilfs- und Beratungszusammenhängen wie 
bei den "anonymen Alkoholikern" wird gerade keine Identifikation von 
dem verlangt, der sich in seiner seelischen oder physischen Not einem 
anderen öffnet. 


Neben der Anonymität im engeren Sinne sind auch Formen der Pseudo- 
nymität zu berücksichtigen, die die (Wieder-)Zuordnung einer Information 
zu einer Person (Aufdeckung eines Pseudonyms) unter bestimmten Vor- 
aussetzungen und nach bestimmten Verfahren zulassen. Sie spielen im 
modernen Datenschutz eine zunehmend wichtige Rolle, weil sie die auch 
in einer offenen Gesellschaft widerstreitenden Interessen durch differenzie- 
rende Lösungen zum Ausgleich bringen können’. 


5 Platon, Der Staat, 456E, 459B-459E 


6 S. dazu die Beiträge von Schulzki-Haddouti, S. 139 ff., Federrath, S. 172 ff., Krause, S. 158 
ff., Golembiewski, S. 107 ff. und Goltzsch, S. 146 ff., in diesem Band. 


7 vgl. die Regelung in $ 14 Abs.2 SigG. 
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Statistik und wissenschaftliche Forschung 


Im Bereich der amtlichen Statistik wie auch in weiten Teilen der wissen- 
schaftlichen Forschung (etwas anderes gilt im Bereich der Zeitgeschichte) 
ist seit jeher anerkannt, dass der einzelne Mensch nicht in seiner Individu- 
alität oder ganzen Persönlichkeit, sondern nur als Träger bestimmter 
Merkmale interessant ist, die in aggregierter Form bestimmte Schlussfolge- 
rungen hinsichtlich bestimmter Bevölkerungsgruppen ermöglichen. Des- 
halb enthalten die Statistikgesetze seit dem Volkszählungsurteil des Bun- 
desverfassungsgerichts und zahlreiche Forschungsklauseln Regelungen 
zum Systemdatenschutz, die eine frühestmögliche Anonymisierung oder 
Pseudonymisierung der zunächst personenbezogen bei den Befragten 
erhobenen Daten vorschreiben®. Der einzelne befragte Mensch muss einen 
Eingriff in sein Recht auf informationelle Selbstbestimmung im Rahmen 
einer statistischen Erhebung nur dann hinnehmen, wenn sichergestellt ist, 
dass die erhobenen Daten ihm nicht auf Dauer zugeordnet werden kön- 
nen, weil dies zu einer verfassungswidrigen umfassenden Katalogisierung 
und Registrierung seiner Persönlichkeit führen würde?. Die Aufhebung der 
faktischen Anonymität durch eine unbefugte Zusammenführung von Mik- 
rodatensätzen zu einer befragten Person ist nach dem Statistikrecht mit 
Strafe bedroht!®. 


Zwischen der amtlichen Statistik und der wissenschaftlichen Forschung 
besteht insofern allerdings ein wesentlicher Unterschied, als zwar der Staat 
amtliche statistische Erhebungen mit Auskunftspflicht durchführen und 
notfalls auch zwangsweise durchsetzen darf, ein Forscher aber immer auf 
die freiwillige, informierte Mitwirkung der von ihm befragten oder unter- 
suchten Personen angewiesen ist. Eine "Zwangsbeforschung" von Men- 
schen war und ist ein Kennzeichen totalitärer (geschlossener) Gesellschaf- 
ten. Unter der Geltung des Grundgesetzes darf sie generell (auch in Schu- 
len oder Justizvollzugsanstalten) nicht stattfinden. 


Das Bundesverfassungsgericht hat gerade auch zur Sicherung des An- 
spruchs von Strafgefangenen auf Resozialisierung die Durchführung einer 
personenbezogenen Volkszählung mit Auskunftspflicht in Strafvollzugsan- 
stalten untersagt!!. Es ist in der Praxis allerdings zuweilen schwierig, dem 
Grundsatz der Freiwilligkeit auch in geschlossenen Einrichtungen wie Jus- 
tizvollzugsanstalten zur Geltung zu verhelfen. Generell muss der Gesetz- 
geber, der eine Auskunftspflicht anordnen will, prüfen, ob sich das Ziel 
der Statistik nicht auch durch eine anonymisierte Ermittlung erreichen lässt, 
um eine „soziale Abstempelung (etwa als Drogensüchtiger, Vorbestrafter, 
Geisteskranker, Asozialer)“ zu vermeiden!?. 


8 Dazu im einzelnen Bizer, Forschungsfreiheit und informationelle Selbstbestimmung, 163 ff. 
9 BVerfGE 27, 1, 6 (Mikrozensus) 

10 55 21, 22 BStatG 

11 BVerfGE 65, 1, 48f. 

12 Ebda. 


Das Recht auf Anonymität als Eckpfeiler einer offenen Gesellschaft 55 


Eine Einwilligung in die personenbezogene Verarbeitung von Daten für 
Forschungszwecke kann die befragte Person rechtswirksam nur dann er- 
teilen, wenn sie umfassend über den genauen Forschungszweck informiert 
worden ist. Gerade die Beschreibung eines präzisen Forschungszwecks ist 
häufig — jedenfalls zum Beginn der Untersuchung -— noch nicht möglich. 
Deshalb rechtfertigt eine „generelle“ Einwilligung der Befragten in der 
Regel nur eine Verarbeitung ihrer Daten in anonymisierter oder pseudo- 
nymisierter Form!?. Rechtmäßigkeit und Akzeptanz sowohl von amtlichen 
statistischen Erhebungen als auch von Untersuchungen der empirischen 
Sozialforschung beruhen grundsätzlich darauf, dass ein Personenbezug der 
Informationen, soweit er von Anfang an überhaupt erforderlich ist und 
nicht vermieden werden kann, im weiteren Verlauf der Erhebung oder 
Studie so schnell wie möglich aufgehoben wird und das Recht der Be- 
fragten auf Anonymität wieder zur Geltung kommt. 


Besondere Probleme ergeben sich allerdings dort, wo der Personenbezug 
für die Erreichung des genau beschriebenen Forschungszwecks (z.B. für 
Folgeuntersuchungen oder Längsschnittstudien) erhalten bleiben muss 
oder die Informationsträger eine wirkliche Anonymisierung nicht zulassen, 
etwa bei Biobanken, in denen Zellmaterial für medizinische Zwecke dau- 
erhaft aufbewahrt wird. Menschliche Zellen können mit den Mitteln der 
Genomanalyse, insbesondere mit Hilfe des genetischen Fingerabdrucks, 
auch nach langen Zeiträumen einer bestimmten Person zugeordnet wer- 
den. Soweit und solange für den Forschungszweck die Aufrechterhaltung 
des Personenbezugs (in direkter Form oder abgeschwächt durch Pseudo- 
nymisierung) unabweisbar ist, ergibt sich das Problem, wie sichergestellt 
werden kann, dass die für das jeweilige Forschungsprojekt erhobenen 
Daten nicht für andere - möglicherweise auch forschungsfremde - Zwecke 
genutzt werden. Die Daten sind in der Regel beim Betroffenen mit seiner 
Einwilligung und aufgrund der Zusicherung gewonnen worden, dass sie in 
personenbezogener Form nur zweckgebunden für das konkrete For- 
schungsprojekt verwendet werden. Diese Zusicherung kann aber nach 
geltendem Recht in bestimmten Fällen nicht eingehalten werden, vor allem 
dann nicht, wenn etwa die Strafverfolgungsbehörden zur Verfolgung von 
Straftaten auf die erhobenen Daten zugreifen wollen. Das deutsche Recht 
kennt bisher weder ein Forschungsgeheimnis noch ein Beschlagnahme- 
oder Verwertungsverbot. 


Bisher behilft man sich bei Forschungsprojekten, in denen medizinische 
Daten von Probanden auf Telematik-Plattformen ausgetauscht oder in 
permanenten Registern für wissenschaftliche Zwecke vorgehalten werden, 
mit dem Einsatz von Berufsgeheimnisträgern (z.B. Rechtsanwälte, Notare) 
als Datentreuhändern!?. Diese Treuhandstellen dienen zum einen der Rela- 
tivierung des Personenbezugs und der Sicherung der Daten vor der Be- 


13 schulte/Wehrmann/Wellbrock, DuD 2002, 605, 607 


14 So z.B. beim bundesweiten Qualitätssicherungsregister für Dialysepatienten in Berlin 
(QuasiNiere), dazu Berliner Datenschutzbeauftragter, Jahresberichte 1995, 5.14; 1996, 4.5.1 u. 
1998, 4.5.1, und beim Kompetenznetz Parkinson, dazu Schulte/Wehrmann/Wellbrock, DuD 
2002, 605, 607 
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schlagnahme durch Strafverfolgungsbehörden, zum anderen kann im Aus- 
nahmefall — etwa wenn dies zum fachlich gebotenen Austausch mit ande- 
ren Forschungsnetzen oder zur individuellen Behandlung erforderlich ist, 
eine Reidentifizierung der Datensätze notwendig sein. Der Datentreu- 
händer kann selbst nur auf die Stamm- oder Referenzdaten, nicht aber auf 
die medizinischen Angaben zugreifen. Solche Modelle der informationellen 
Gewaltenteilung dienen zugleich dem Systemdatenschutz. 


Solange der Gesetzgeber der seit langem erhobenen Forderung nach 
Schaffung eines besonderen Forschungsgeheimnisses nicht nachkommt, 
kann wahrscheinlich nur auf diese Weise sichergestellt werden, dass die 
zugesicherte Zweckbindung von personenbezogenen Daten auch Bestand 
hat. Dasselbe gilt für Biobanken, in denen menschliches Gewebe für For- 
schungszwecke auf Dauer (oder längere Zeit) vorgehalten wird. Ein sol- 
ches Forschungsgeheimnis ist das notwendige Surrogat für die - an sich 
gebotene - Anonymität des Datensubjekts. Es verhindert im Grundsatz, 
dass Dritte die vom Forscher auf freiwilliger Basis erhobenen Daten einer 
Person zuordnen und für ihre forschungsfremden Zwecke nutzen. Aller- 
dings ist die Schaffung eines zusätzlichen rechtlichen Geheimnisschutzes, 
dessen Einhaltung wiederum überwacht werden müsste, nur ein notwen- 
diges Element, das der Staat durch Vorkehrungen zum System- und Selbst- 
schutz ergänzen müsste. Moderner Datenschutz kann nicht nur durch 
rechtliche, sondern muss auch durch technische Vorkehrungen und Mög- 
lichkeiten des Selbstdatenschutzes gewährleistet werden!?. Denkbar wäre 
etwa, dass die befragten Personen jedenfalls nach einer gewissen Zeit oder 
beim Widerruf ihrer ursprünglich erteilten Einwilligung einen Anspruch auf 
endgültige Anonymisierung der bei ihnen erhobenen Daten erhalten!® 
oder - bei einer Verarbeitung dieser Daten unter aufdeckbaren Pseudony- 
men, z.B. mit Referenzlisten - selbst beteiligt werden müssten, bevor diese 
Angaben ihnen wieder zugeordnet werden könnten. 


In dem Maße, wie sensible personenbezogene Daten in Netzen oder auf 
Telematikplattformen verarbeitet werden, spielen Verfahren der Anonymi- 
sierung und Pseudonymisierung eine zunehmend wichtige Rolle für die 
datenschutzgerechte Durchführung von Forschungs- oder Qualitäts- 
sicherungsvorhaben gerade im medizinischen Bereich. Ohne solche Ver- 
fahren sähen sich schweigepflichtige Teilnehmer an solchen Projekten, 
insbesondere Ärzte, der Gefahr der strafrechtlichen Verfolgung wegen des 
Bruchs der ärztlichen Schweigepflicht ausgesetzt. 


Auch beim Gemeinsamen Krebsregister und bei der Umsetzung des Trans- 
plantationsgesetzes hat der Bundesgesetzgeber vergleichbare Instanzen 
(Vertrauensstelle, Koordinierungsstelle) mit der Aufgabe eines Datentreu- 


15 Hoffmann-Riem, Informationelle Selbstbestimmung in der Informationsgesellschaft — Auf 
dem Wege zu einem neuen Konzept des Datenschutzes -, AÖR 1998, 514, 537; Roßna- 
gel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, Gutachten im Auftrag des 
Bundesinnenministeriums, 148 ff., 184 ff. 


16 So das italienische Datenschutzgesetz, vgl. Roßnagel/Pfitzmann/Garstka, Modernisierung 
des Datenschutzrechts, S. 178 
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händers betraut, um die Identitätsdaten verschlüsselt und getrennt von den 
in den Registern enthaltenen medizinischen Angaben aufzubewahren!”. 


3 Grenzen des Rechts auf Anonymität 


Diese vergleichsweise komplizierten Strukturen der Datenhaltung sind 
auch deshalb erforderlich, weil das Recht auf Anonymität nicht unbe- 
schränkt gilt. Im Fall des Krebsregisters soll — im Interesse des Patienten - 
die Möglichkeit erhalten bleiben, den Kontakt zu ihm oder zu seinem be- 
handelnden Arzt wieder herzustellen, wenn die epidemiologische For- 
schung Erkenntnisse gewonnen hat, die gerade für seine weitere Behand- 
lung von Bedeutung sein könnten. Auch bei Organtransplantationen sind 
Ausnahmesituationen denkbar, in denen ein Bezug zu der betroffenen 
Person (etwa dem Organempfänger) aus medizinischen Gründen herge- 
stellt werden muss, z.B. weil sonst eine gesundheitliche Gefährdung des 
Organempfängers zu befürchten ist. 


In einem ganz anderen Rechtsbereich gibt es genaue Regeln über die Vor- 
aussetzungen, unter denen jemand verpflichtet ist, sich zu identifizieren. 
Die Identitätsfeststellung ist eine Standardmaßnahme der Polizei, die das 
Polizeirecht der Länder übereinstimmt vorsieht. Auch wenn dieses Instru- 
ment in den letzten Jahren mehrfach (z.B. durch die Einführung der 
„schleppnetzfahndung‘“) erweitert worden ist, ist aus diesen Regeln auch 
der Umkehrschluss zu ziehen, dass niemand außerhalb einer konkreten 
Gefahr oder abseits gefährdeter Orte verpflichtet ist, sich gegenüber der 
Polizei (oder gar gegenüber beliebigen Privatpersonen) auszuweisen oder 
mit einem Namensschild auf die Straße zu gehen. 


Natürlich kann ein Störer oder Straftäter kein Recht auf Anonymität für sich 
in Anspruch nehmen. Auch wenn in gerichtlichen Verfahren zum Schutz 
der Privatsphäre eines Prozessbeteiligten (Opfer, Zeugen oder Täter) die 
Öffentlichkeit ausgeschlossen werden kann!®, müssen doch die Angeklag- 
ten gegenüber dem Gericht Angaben zu ihrer Person machen, sie dürfen 
also nicht anonym bleiben. Lediglich über ihre weiteren „persönlichen 
Verhältnisse“ sind sie nicht verpflichtet, Auskunft zu geben!?. 


Das Polizei- und Strafverfahrensrecht verpflichtet jeden, der eine Gefahr 
begründet oder gegen den der Anfangsverdacht einer Straftat besteht, sich 
zu identifizieren. Im Rahmen der Verbrechens- und insbesondere der Ter- 
rorismusbekämpfung gewinnen jedoch Überlegungen an Bedeutung, wo- 
nach Personen bereits im Vorfeld einer Gefahr und verdachtsunabhängig 
zur Identifikation verpflichtet werden sollen. Dabei spielt etwa der mas- 
senhafte Einsatz von biometrischen und genomanalytischen Verfahren eine 


17 $$ 4,5, 7 u. 8 Krebsregistergesetz (BGBl. 1994 I, 3351), das seit 1999 in den Ländern Berlin, 
Brandenburg, Mecklenburg-Vorpommern, Sachsen, Sachsen-Anhalt und Thüringen aufgrund 
eines Staatsvertrages weiter gilt; $ 13 Abs.1 u. 2 Transplantationsgesetz (BGBl. 1997 I, 2631) 


18 § 171b GVG 
19 Kleinknecht/Meyer-Goßner, StPO, 46. Aufl., Rn. 5 zu $ 136; Rn.12 zu $ 243 
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wachsende Bedeutung. Während der Gedanke einer generellen „erken- 
nungsdienstlichen Behandlung“ durch Abnahme der Fingerabdrücke bei 
der gesamten Bevölkerung („Volksdaktyloskopie“) lange Zeit aus gutem 
Grund abgelehnt wurde, hat das Terrorismusbekämpfungsgesetz vom 
Januar 2002 Sicherungen vor einer solchen Entwicklung abgebaut. 


In die Personalausweise und Pässe aller Deutschen sollen biometrische 
Merkmale aufgenommen werden, wobei die Einzelheiten noch durch ein 
Bundesgesetz geregelt werden müssen. Bei Ausländern kann dagegen der 
Bundesinnenminister durch Rechtsverordnung die Aufnahme biometrischer 
Merkmale in Aufenthaltsgenehmigungen und Ausweisersatzpapiere anord- 
nen. Ein legitimer Grund für diese Diskriminierung Nichtdeutscher ist nicht 
erkennbar?!. Allerdings sei daran erinnert, dass schon seit geraumer Zeit 
auch allen Asylbewerbern Fingerabdrücke abgenommen werden, unab- 
hängig davon, ob sie sich im Einzelfall strafbar gemacht haben oder dem- 
nächst mit großer Wahrscheinlichkeit straffällig werden. Weder bei Deut- 
schen noch bei Ausländern dürfen genetische Informationen in die Aus- 
weispapiere eingebracht werden, die biometrischen Merkmale müssen 
verschlüsselt werden. Im Übrigen hat der Gesetzgeber bei Deutschen al- 
lerdings strengere Sicherungen vorgesehen als bei Ausländern. So dürfen 
die biometrischen Merkmale nur zu Zwecken der Verifikation, also der 
Zuordnung des Ausweispapiers zu seinem Inhaber, nicht aber zu dessen 
Identifizierung eingesetzt werden“?. Eine zuverlässige Identifizierung wür- 
de voraussetzen, dass die Informationen in einer zentralen Datei ge- 
speichert sind, was das Gesetz ausdrücklich ausschließt23. 


Der Einsatz biometrischer Verfahren in den verschiedensten Zusammen- 
hängen — auch außerhalb der Strafverfolgung - wird mit großer Wahr- 
scheinlichkeit in naher Zukunft erheblich zunehmen. Dabei wird es durch- 
gängig — auch bei dem im Terrorismusbekämpfungsgesetz angekündigten 
Biometriegesetz — darauf ankommen, möglichst grundrechtsschonende 
Verfahren anzuwenden. Verfahren, die von der aktiven Mitwirkung der 
Betroffenen abhängen (wie bei der Iriserkennung), sind solchen Verfahren 
vorzuziehen, bei denen biometrische Merkmale im Vorübergehen erfasst 
werden (Gesichtsgeometrie) oder bei denen sogar Spuren hinterlassen 
werden (Fingerabdruck, Handgeometrie). Bei den zuletzt genannten Ver- 
fahren besteht sonst die Gefahr einer systematischen Aushöhlung der Un- 
schuldsvermutung, weil jeder, dessen Spuren an einem bestimmten Ort 
sichergestellt würden, identifiziert und faktisch zu einer Rechtfertigung 
gezwungen werden könnte, um sich vom Vorwurf der Beteiligung an ei- 
nem dort begangenen Verbrechen zu entlasten. 


20 Dazu Garstka, Terrorismusbekämpfung und Datenschutz -— Zwei Themen im Konflikt, 
Neue Justiz 2002, 524, 525, m.w.N. 


21 Kritisch auch der Bericht des Bundestags-Ausschusses für Bildung, Forschung und Tech- 
nikfolgenabschätzung, Biometrische Identifikationssysteme — Sachstandsbericht, v. 10.10.2002, 
BT-Drs. 14/10005, 51 

22 $$ 16 Abs.6 PassG und 3 Abs.5 PersAuswG sprechen insofern unpräzise von „Identität s- 
prüfung“. 

23 Vgl. $ 4 Abs.4 Satz 2 PassG 
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Zudem sollten im Interesse eines effektiven Systemdatenschutzes so weit 
wie möglich die Verarbeitung personenbezogener Daten vermieden und 
Möglichkeiten der Anonymisierung und Pseudonymisierung genutzt wer- 
den. Dafür bieten vor allem solche biometrischen Verfahren Ansatzpunkte, 
die auf Referenzdatensätze (Templates) entweder verzichten oder sie in 
der ausschließlichen Verfügungsgewalt des Nutzers (z.B. auf Ausweisen 
oder Chipkarten) belassen??. Die Aufrechterhaltung des gesetzlichen Ver- 
bots einer zentralen Referenzdatei ist insofern von entscheidender Bedeu- 
tung. 


4 Anonyme Geburt 


Ein Recht auf Anonymität stößt zudem dort auf Grenzen, wo die Rechte 
anderer betroffen sind. So wird in jüngster Zeit auch in Deutschland über 
die Möglichkeit diskutiert, über die Einrichtung von Babyklappen hinaus 
schwangeren Frauen ein gesetzliches Recht auf anonyme Geburt einzu- 
räumen??. Dahinter steht die Überlegung, dass die Zahl der Abtreibungen 
dadurch möglicherweise reduziert werden kann?®. In Frankreich hat der 
Gesetzgeber einen solchen Schritt bereits vor geraumer Zeit vollzogen, 
musste allerdings inzwischen Korrekturen an der gesetzlichen Regelung in 
der Weise vornehmen, dass eine einvernehmliche Aufhebung der Anony- 
mität bei Volljährigkeit des Kindes ermöglicht wird?”. 


Der Gesetzgeber muss aber neben den Rechten der Mutter auch die Rech- 
te des Kindes berücksichtigen. Dieses hat ein vom Bundesverfassungs- 
gericht in ständiger Rechtsprechung bekräftigtes Grundrecht auf Kenntnis 
der eigenen Abstammung®. Ein solches Recht ist wesentlicher Bestandteil 
eines freiheitlichen Rechtsstaats. In der auch insoweit totalitären Staatsidee 
Platons hat dieses Recht dagegen keinen Platz. Platon spricht den Kindern 
der "Wächter" ein solches Recht vielmehr ausdrücklich ab??. Staatlich ver- 
ordnete Anonymität ist gerade das fremdbestimmte Gegenteil zu einem 
autonom ausgeübten Recht auf (eigene) Anonymität. 


Unter der Geltung des Grundgesetzes ist das Recht des Kindes zu wissen, 
"woher es kommt", auch nicht generell nachrangig gegenüber seinem Le- 
bensrecht. Es wäre eine verkürzte Sicht der Dinge, das Recht auf Kenntnis 
der eigenen Abstammung deshalb einem Anonymitätsanspruch der Mutter 


24 Dazu eingehend der Bericht des Bundestagsausschusses für Technikfolgenabschätzung, 
s.o. FN 17 im Anschluss an ein Gutachten des Unabhängigen Landeszentrums für Daten- 
schutz Schleswig-Holstein, 46 ff. 


25 Dazu Scheiwe, Babyklappe und anonyme Geburt — wohin mit Mütterrrechten, Väterrech- 
ten, Kinderrechten? ZRP 2001, 368. 


26 An dieser Hypothese werden allerdings auch Zweifel geäußert, vgl. den Bericht „Kein 
Schutz vor dem Tod“ in der Süddeutschen Zeitung v. 26.11.2002. 


27 Dazu näher Scheiwe a.a.O., S.369f. m.w.N. 
28 BVerfGE 79, 256 (269); 96, 56 (63) 
29 Der Staat, 457 D, 460 D. 
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stets unterzuordnen, weil anderenfalls das Kind gar nicht zur Welt kom- 
men würde®, 


Abgesehen davon, dass nur in bestimmten extremen Situationen die Mutter 
allein unter der Voraussetzung ihrer Anonymität zur Entbindung bereit sein 
wird, besteht selbst dann eine grundrechtskonforme Möglichkeit, das Recht 
auf Anonymität mit dem Lebensrecht und dem Recht auf Kenntnis der 
eigenen Abstammung im Wege der praktischen Konkordanz zu vereinba- 
ren. Die Institutionalisierung der anonymen Geburt durch den Gesetzgeber 
wirft eine Vielzahl schwieriger Fragen auf, die hier nicht im Einzelnen 
erörtert werden können?!. Nach der Rechtsprechung des Bundesverfas- 
sungsgerichts dürfen dem Kind nicht von Staats wegen vorhandene Infor- 
mationen über seine Abstammung auf Dauer vorenthalten werden?2. Das 
Kind muss spätestens mit seiner Volljährigkeit das Recht erhalten, den 
Namen seiner Mutter zu erfahren. Die Anonymität der Mutter darf also 
nicht absolut und auf Dauer geschützt sein. Das setzt voraus, dass die 
namentliche Verbindung der Mutter zu ihrem "anonym geborenen" Kind 
bei einem Treuhänder hinterlegt werden muss, bei dem das Kind mit Er- 
reichen des Volljährigkeitsalters nachfragen kann (z.B. in einem zentralen 
Standesamt). Über diese Möglichkeit muss es rechtzeitig informiert werden. 


Fazit 


Das Recht auf Anonymität oder Pseudonymität ist notwendiger Bestandteil 
einer offenen, freiheitlichen Gesellschaftsordnung. Ohne die Methoden der 
Anonymisierung oder Pseudonymisierung wären viele Forschungsvorha- 
ben nicht durchzuführen. Zur Identifizierung kann der Einzelne nur in 
bestimmten Situationen (z.B. wenn von ihm eine Gefahr ausgeht) ver- 
pflichtet werden, wenn der Gesetzgeber die Bedingungen dafür präzise 
und unter Beachtung des Verhältnismäßigkeitsgrundsatzes umreißt. Die 
Erweiterung der pauschalen Identifikationspflichten im geltenden Pass- 
und Personalausweisrecht durch die vorgesehene Ergänzung um biometri- 
sche Merkmale ist verfassungsrechtlich prinzipiell problematisch, insbe- 
sondere wenn der Gesetzgeber sich nicht auf datenschutzfreundliche bio- 
metrische Verfahren beschränkt und über die bisher geplante Verifikation 
hinaus in Zukunft die Einrichtung zentraler Referenzdateien vorsehen soll- 
te. 


Ein Staat und eine Gesellschaft, die in allen ihren Bürgerinnen und Bür- 
gern potentielle Straftäter -— den platonischen Gyges — sehen und deshalb 
anonyme und pseudonyme Formen des Verhaltens generell unterbinden 
oder einschränken, verlieren neben ihrer Offenheit auch ihre Menschlich- 
keit. Karl Popper hat dies am Ende seiner kritischen Auseinandersetzung 
mit Platon treffend so formuliert: "...wenn wir Menschen bleiben wollen, 


30 So aber Mittenzwei, ZRP 2002, 452. 
31 Zu den familienrechtlichen Fragen näher Scheiwe, FN 25. 
32 S, FN 28. 
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dann gibt es nur einen Weg, den Weg in die offene Gesellschaft. Wir müs- 
sen ins Unbekannte, ins Unsichere weiterschreiten und die Vernunft, die 
uns gegeben ist, verwenden, um, so gut wir es eben können, für beides zu 
planen: nicht nur für Sicherheit, sondern zugleich auch für Freiheit."3? 


33 Die offene Gesellschaft und ihre Feinde Bd.1, S. 239. 


Über die Funktionalität von Anonymität für die bürgerliche 
Gesellschaft 


Martin Rost 


1 Anonymität in unserem Leben 


Die Möglichkeit zur anonymen Kommunikationen ist für eine moderne 
Gesellschaft, die heute immer schon Weltgesellschaft ist, funktional. An 
den zentralen Stellen des Rechts, der Macht, der Ökonomie und Wissen- 
schaft haben sich in der Moderne Mechanismen der Nichtzurechenbarkeit 
von Kommunikationen und Handlungen auf konkret einzelne Personen 
ausgebildet. Die Adressierbarkeit von Kommunikationen an bloß abstrakte 
Positionen bzw. an eine nicht weiter spezifizierbare Menge ist dabei nicht 
nur funktional hinreichend, sondern darüberhinausgehend konstitutiv für 
moderne Sozialverhältnisse überhaupt. 


Als Beispiel für die Funktionalität von Anonymität ließe sich auf die glei- 
chen und geheimen Wahlen des modernen demokratisch verfassten Recht- 
staats verweisen. Die Nichtzurechenbarkeit der Stimmabgabe auf eine 
konkrete Person erleichtert, auf der individuellen Ebene, »Nein!« zu sagen, 
und, auf der gesellschaftlichen Ebene, den Wechsel politischer Programme. 
Denkt man des Weiteren an Wissenschaft, so werden Artikel in wissen- 
schaftlichen Qualitäts-Zeitschriften ohne das Wissen darum begutachtet, 
wer als Autor und wer als Gutachter agiert!. Diese Anonymisierung, die 
aus der Perspektive der Redaktion, die über die Zuordenbarkeit von Gut- 
achter und Autor verfügt, genauer als »Pseudonymisierung« zu bezeichnen 
ist, fungiert als zentraler Bewertungsmechanismus für wahrheitsorientierte 
Diskurse. Darüberhinausgehend ist es die abstrakte - anonyme - wissen- 
schaftliche Öffentlichkeit, die als letztgültige Wahrheitsinstanz fungiert. 


Nicht zuletzt spielt Anonymität auch ökonomisch eine Rolle: Man gibt Geld 
hin und nimmt das Gewünschte entgegen, ohne dass mit diesem Tausch 
auch zwangsläufig die persönlichen Daten gewechselt werden müssen. Es 
bedarf keiner Bewertung der Personen. Man geht in der Form des Geld- 
tausches eine soziale Beziehung auch mit demjenigen ein, den man nicht 
kennt, der einem gleichgültig ist und der dies üblicherweise auch weiter- 
hin bleiben kann. 


1 Vgl. dazu oben Denninger, S. 41 ff. 


2Es gibt auch Namen für die Anonymitätsgruppen, die für die gesellschaftlichen Subsysteme 
konstitutiv sind: Die Figur der Scientific Community im Bereich des Wissenschaftssystems 
entspricht in der Ökonomie-die Figur der Marktteilnehmer, in der Politik die Figur der öffent- 
lichen Meinung und der hberrschenden Rechtspraxis des Rechtsystems. 


H. Da umler et al. eads. j), Anonymität ım Internet 
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Man muss aber gar nicht in dieser Abstraktionslage bleiben, um die Unver- 
zichtbarkeit anonymer Verhältnisse in der Moderne zu veranschaulichen: 
Die Anonymen Alkoholiker helfen einander, ohne sich beim Namen zu 
kennen. Anonymität ist für sie unverzichtbar, ohne Übertreibung in einigen 
Fällen möglicherweise sogar überlebenswichtig. Das AN.ON-Projekt ĠA- 
nonymität Online), das sich die Herstellung einer Infrastruktur zur ano- 
nymen Kommunikation im Internet zum Ziel gesetzt hat (siehe 
http://www.anon-online.de), nahm seinen Anfang aus einer ganz ähnli- 
chen Problemlage: Mögliche Ecstasy-Konsumenten sollten sich per Internet 
anonym an eine Drogenberatung wenden können, ohne dass die Hilfesu- 
chenden in Sorge sein mussten, dass allein durch die Kontaktaufnahme 
ihre Identität möglicherweise hätte ermittelt werden oder durch Dritte hätte 
beobachtet werden können. 


Kurzum: Ohne Chance auf Anonymität wäre kein demokratisches System 
denkbar, keine Wissenschaft, deren Wahrheitsabsicherung einzig auf vor- 
behaltloser Kommunikation ohne Rücksicht auf Personen gründet, kein 
freies, offenes Marktgeschehen und schließlich in vielen Fällen wäre auch 
keine Hilfe selbst in extremen Notlagen, als weiteres Beispiel sei nur noch 
die Babyklappe erwähnt, möglich. 


2 Anonymität ist ein Phänomen der Moderne 


Die Bezeichnung »anonym« entstand im Zusammenhang mit Schriften GA- 
nonyma«), die ohne Namen des Verfassers überliefert sind oder deren 
Verfasser sich selbst nicht zu erkennen geben wollen. Mit dem Buchdruck, 
abstrakt gesprochen: mit einer frühen Informationstechnik, entstand erst- 
mals systematisch die Möglichkeit zur Entkoppelung von Urheberschaft 
und der Zurechnung von Gesagtem zu einer bestimmten Person. Die 
Verbreitung von Gedrucktem für die Allgemeinheit, das sich anders als ein 
Brief an viele unbekannte Leser richtete, veränderte auch die Form der 
Argumentation. Der Autor musste seinen Text auf einen generalisierten 
Leser ausrichten und deshalb von konkreten Kontexten unabhängiger 
argumentieren, mit der Folge, dass die Argumentation zunehmend Halt an 
abstrahierten, übergreifenden Standards (wie Gewicht, Länge, Ort, Zeit, 
Material, Variationen von Themen zunächst primär aus dem allgemeinen 
religiösen Wissensfundus) sowie logisch an sich selber finden musste. 


Es gilt, eine weitere Linie einzuziehen: In den großen Metropolen bricht, 
spätestens zu Beginn des 20. Jahrhunderts, zunehmend die Zuordnung 
von sozialen Funktionen und Bezirken auf. Man denke an die Zünfte der 
Gerber, Korb- und Radmacher, Schneider, Kunsthandwerker, Buchhändler, 
Geldleiher usw. Allein die große Zahl der mit dieser Entwicklung entste- 
henden »unsortierten« Begegnungen nötigt zumindest in einer Großstadt zu 
einem Modus der gegenseitigen Beobachtung, der sich zunächst weitge- 
hend darauf beschränken kann, die Körper so zueinander zu arrangieren, 
dass sie bei zufälligen Begegnungen nicht miteinander kollidieren. Stadtluft 
macht frei. Wie bei den Technikfolgen des Buchdrucks so ist auch diese 
Entwicklung von einer Generalisierung begleitet: Es entsteht die Option, 
jemanden als einen »bloß Anderen: wahrzunehmen und nicht zwangsläufig 
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als »Freund oder Feind«, »gehört-zu-uns oder gehört-nicht-zu-uns« oder als 
»nützlich oder unnütz«. 


Diese städtische Kultur des kalkulierten Ignorierens breitet sich heutzutage 
im Zuge der Nutzung moderner Kommunikationstechniken sozusagen 
»stadtübergreifend«, global aus. Diese verallgemeinerte Verstädterung er- 
fordert das Einüben neuer Formen vertrauensbildender Maßnahmen. »Der 
Andere: wird zu einem generalisierten Anderen, der weder Zuneigung 
noch Abneigung beansprucht oder provoziert, sondern der mit universali- 
sierter Achtung rechnen darf bzw. umgekehrt diese beansprucht. Niemand 
muss sich im Alltag grundlos legitimieren oder kann von anderen eine 
Rechtfertigung verlangen - selbst Missgeschicke, wie etwa das Auffahren 
auf ein anderes Auto, werden kaum mehr moralisiert, sondern schlicht 
funktional abgewickelt. Man wird im positiven Sinne - darf man sagen: in 
einem zen-buddhistischen Sinne? - füreinander gleich-gültig. Die Kehrseite 
dieser Medaille ist, dass nicht-gleich-gültige- Beziehungen gestiftet werden 
müssen, um der unter Umständen als bedrückend empfundenen Anony- 
mität unter Wohnungsnachbarn eines städtischen Hochhauses zu entge- 
hen. Gemeinschaft versteht sich in der Moderne, entgegen dem traditio- 
nellen Verständnis, insofern genau nicht als von selbst einfach gegeben. 


In vormodernen Zeiten gab es derartig anonyme Sozialbeziehungen eher 
nicht. Bei jeder Begegnung in einer mittelalterlichen »Stadt« taxierte man 
einander und wies sich, auch wenn man sich nicht bei Namen kannte, 
oder möglicherweise zum Teil kaum über einen Namen verfügte, einen 
eindeutigen Status zu. Dafür war vermutlich schon die strenge Kleiderord- 
nung hilfreich. Es bestand Klarheit darüber, wer auf wen in welchem Maße 
mehr oder weniger willkürlich zugreifen durfte. Es gab für alles in der 
Welt eine logisch oder mental befriedigende, meist hierarchisch organi- 
sierte Ordnung der Dinge. Diese soziale, kommunikative und mentale 
Eindeutigkeit ging in Westeuropa, im Zuge der Umstellungen der Mo- 
derne, dann weitgehend verloren bzw. wurde, wie etwa Religion, zur Pri- 
vatsache erklärt. Das Gute, Wahre und Schöne fiel auseinander. Genau an 
diesem Punkt der Ablösung von einer mental und logisch so befriedigen- 
den stratifizierten Ordnung der Dinge, diese Nebenbemerkung sei gestat- 
tet, stehen nunmehr die als fundamentalistisch-religiös bezeichneten Staa- 
ten. 


Das Potential der Moderne 


Parallel zur oben kurz geschilderten Dekontextualisierung verschriftlichter 
Kommunikation bzw. Generalisierung der Wahrnehmung des Anderen 
entstanden Ordnungsmuster, die die traditionellen Ordnungskapazitäten 
von den bis dahin führenden Organisationsformen, hierbei denke man an 
Manufakturen, Klöster, Zünfte, Märkte in den Schatten der Kirchen, Höfe 
usw., überstiegen. John Locke provozierte um 1660 herum die Anhänger 
zentral-absolutistischer Führungskonzepte mit Überlegungen zu kompli- 
zierten Regelungsmechanismen durch eine »Drei-Gewalten-Teilung« mit 
einer gegenseitigen Kontrolle von Exekutive, Legislative und Jurisdiktion. 
Adam Smith formulierte etwa 100 Jahre später die rätselhafte »invisible 
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hand« des Marktes, die deutsche Hochphilosophie spürte den Offenbarun- 
gen der Vernunft in der Natur, des Ichs und der Geschichte nach. Und 
knapp ein weiteres Jahrhundert später schüttelten Charles Darwin und Karl 
Marx die Welt der Theorien ein weiteres Mal mit ihren Thesen durch, wo- 
nach es organisationsübergreifend-allgemeine Ordnungsmuster der ganz 
eigenen Art gäbe. 


Inzwischen sind die Mechanismen derartig organisationsübergreifender 
Ordnungsmuster, speziell im sozialen Bereich, besser freigelegt und ver- 
standen. Diese übergreifenden sozialen Ordnungen werden als »gesell- 
schaftliche Subsysteme« (Niklas Luhmann) bezeichnet, die dazugehörige 
soziologische Theorie ist die der »funktionalen Differenzierung«. Im Kern 
besagt diese Theorie, dass sich Kommunikationssysteme speziell für Öko- 
nomie, Politik, Wissenschaft und Recht herausgebildet haben, die sich 
anhand der Reproduktion von kommunikativen Elementarereignissen 
selbst organisieren. Jedes dieser Systeme reproduziert seine ganz spezifi- 
sche Form durch Oszillation zwischen zwei Seiten eines kommunikativen 
Codes, wobei nicht eine der beiden Seiten, sondern die Oszillation zwi- 
schen ihnen, und damit beide einander widersprechende Seiten, stabilisiert 
werden. Konkret heißt das: das Wirtschaftssystem verarbeitet Informatio- 
nen durch die permanente Oszillation zwischen den beiden Seiten Zah- 
lung/ Nichtzahlung, das politische System oszilliert zwischen Macht/ 
Nichtmacht, das Rechtssystem zwischen Recht/ Nichtrecht und das Wissen- 
schaftssystem zwischen wahr/ falsch. Ökonomisch interessiert fortan allein 
die Verzinsung des Kapitals, die Politik oszilliert zwischen Regierung und 
Opposition und die wissenschaftliche Wahrheit gründet sich, überaus ris- 
kant weil unabschließbar vorläufig, auf die an Wahrheit/ Falschheit orien- 
tierte Kommunikation von Experten. 


Im Laufe dieser sich zunächst vornehmlich in Europa neu herausbildenden 
übergreifenden Ordnungsmuster veränderten sich die Formen der Organi- 
sationen und die Selbstbestimmung der Menschen. Im philosophischen 
Diskurs wurden Menschen fortan als dem Wesen nach autonome Indivi- 
duen, im politischen Diskurs zumindest im Prinzip als freie, souveräne 
Bürger ausgewiesen. Und Organisationen sehen sich vor das Problem 
gestellt, diese systematisch geschiedenen Funktionalitäten der gesellschaft- 
lichen Subsysteme und die Selbstbestimmung der Menschen miteinander 
zu synthetisieren. Seitdem gilt: Nur diejenigen Organisationen, die über 
eine optimale Wissensverarbeitung und Marktinteraktion verfügen, politi- 
schen Einfluss nehmen, sich rechtlich immer wieder von Neuem überprü- 
fen, und die ihr komplexes Personal optimal in ihre Workflows einbinden, 
können sich in einer turbulenten Umwelt behaupten. 


Die generelle Funktion von Organisationen - die im soziologischen Ver- 
ständnis einen weiteren, eigenständigen Systemtypus neben den gesell- 
schaftlichen Subsystemen und den Interaktionssystemen darstellen - be- 
steht darin, Entscheidungen herzustellen. Dafür müssen Organisationen, 
bei Strafe ihres sonstigen Unterganges, heutzutage mit Hilfe der modernen 
Informations- und Kommunikations-Technik die aus ihrer Sicht notorisch 
chaotische Umwelt und die komplexe Binnenwelt ihrer Mitglieder ordnen. 
Organisationen sehen sich deshalb permanent aufgefordert, ihre Teilhabe 
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an der internen und externen Kommunikation zu effektivieren, insbeson- 
dere um Einfluss auf ihre Umwelt zu nehmen und so die Transformations- 
kosten in der Interaktion mit der Umwelt möglichst gering zu halten. 


Im Übergang zur Moderne mussten Organisationen ihre einstigen Allbin- 
dungen von Menschen zu einem maßgeblichen Anteil an die gesellschaftli- 
chen Subsysteme abgeben. Durch die enormen Informationsverarbeitungs- 
kapazitäten in den Händen moderner Organisationen gewinnen diese 
jedoch wieder beschleunigt so etwas wie eine maßgebliche Hoheit über 
die Menschen. Firmen basteln zum Beispiel an ihrem Customer-Relations- 
hip-Management GCRM«) herum, um durch hoch auflösende Kundenpro- 
file die Bindungen zu den Kunden zu intensivieren. Werbefirmen wie 
Doubleclick verfolgen den Clickstream der Interessenten über verschie- 
dene Webseiten vieler Marktführer hinweg und erstellen zentralisiert Kun- 
denprofile. Es werden Kundenkarten ausgegeben, die für einen geringen 
Preisnachlass Kunden zu Quasi-Mitgliedern von Firmen machen und es 
erlauben, sie in ihrem Kaufverhalten ebenfalls unter genaue Beobachtung 
zu stellen. Strafverfolgungsbehörden tragen, trotz des Labels »Rasterfahn- 
dung« von der Öffentlichkeit weitgehend unproblematisiert, behördliche 
Datenbestände von Energie- und Wasserversorgern und aus vielen ande- 
ren Wirtschaftsbranchen sowie von Hochschulen zusammen, um diese 
zentral auswerten und nach verdächtig/ unverdächtig sortieren zu können. 
Wissenschaftler vermessen Menschen bis in die Gene hinein, legen sie 
dadurch auf bestimmte Dispositionen fest und könnten somit, wenn bei 
Einstellungsverhandlungen Gen-Untersuchungen als Grundlage zur Ab- 
schätzung von Krankheitsrisiken genutzt würden, maßgeblichen Einfluss 
auf die Biografien von Menschen nehmen. 


Diese Zunahme an einer wieder mehr kontrolliert-organisierten und sozu- 
sagen »stramm festgezurrten« stratifizierten Gesellschaftsstruktur könnte aus 
einer gesellschaftstheoretisch instruierten Sicht eine tendenzielle Zurück- 
nahme der bereits vollzogenen gesellschaftlichen Differenzierung bedeu- 
ten. Die die Moderne charakterisierende Differenzierung war bislang da- 
durch ausgezeichnet, dass ein höheres Maß an Risiko mit dem Effekt einer 
enormen Verbesserung der ökonomischen, politischen, juristischen und 
wissenschaftlichen Systemleistungen einherging. Die Frage ist nun, wie 
diese Entwicklung beurteilt wird. Die Beurteilung der Risiken der Moderne 
ist dabei abhängig vom sozialen Kontext, in dem sich der Beurteiler typi- 
scherweise bewegt. Ich möchte deshalb nachfolgend auf die für eine mo- 
dern differenzierte Gesellschaft typischen unterschiedlichen Positionen, die 
man zum »Recht auf informationelle Selbstbestimmung« im Allgemeinen 


und der Notwendigkeit, dafür auch eine Anonymität gewährleistende Inf- 


rastruktur in Anspruch nehmen zu können gemeinhin einnimmt, zu spre- 
chen kommen. 


Datenschutz in Interaktions-, Organsiations und Gesellschaftssystemen 


Das »Recht auf informationelle Selbstbestimmung« als paradigmatisch zent- 
rale Leitfigur des Datenschutzes, spielt für die Ausbildung von Individuali- 
tät bzw. eine selbstbestimmte Rollengestaltung und Selbstwahrnehmung 
und Inszenierung einer einmaligen Persönlichkeit in Interaktionssystemen 
eine große Rolle. Dort wird dieses Recht sozusagen »natürlich« gelebt. 
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Nicht in der Form eines juristisch verstandenen, einklagbaren Rechts, das 
man reflektiert, sondern als eine selbstverständliche Hintergrunderfüllung 
einer gegenseitigen Anerkennung der Souveränität der Selbstinszenierun- 
gen des Anderen. Hier äußert sich sozusagen die »Kultur einer Gesell- 
schaft« im informellen Umgang miteinander. Dies ist die Ebene für die 
kulturellen Formen, die entlang der Dimensionen der Diskretion/ Indis- 
kretion, der Achtung/ Missachtung, der Toleranz/ Intoleranz oder auch der 
Nähe/ Distanz ausgebildet sind. 


Pseudonyme Adressierungsformen oder anonyme Kommunikationen wer- 
den in der Kommunikation des Systemtyps Interaktionssystem nicht ver- 
wendet (vgl. Kieserling 1997). Sie untergrüben die für diesen Systemtyp 
genutzten vertrauensbildenden Maßnahmen. Als solche Maßnahmen gelten 
beispielsweise das direkte, interessierte in die Augen blicken, das Lächeln, 
das körperliche Zuwenden zum Anderen im Gespräch sowie Geständnisse 
persönlicher Art, die der andere bei Böswilligkeit zum Nachteil des »Ge- 
ständigen« ausnutzen könnte. Geständnisse fungieren hiernach als rhetori- 
sche Geschenke zum Aufbau von vertraulichen Bindungen. Solcher Art 
individuell zurechenbare Zumutungen sind in diesem Sinne das Gegenteil 
von Sozialbeziehungen, die pseudonym oder anonym abgewickelt wer- 
den. Mit Bezug auf Datenschutz können interagierende Menschen zumin- 
dest im Prinzip rational darüber entscheiden, was sie in welcher Form von 
sich preiszugeben bereit sind. Und was sie unter dem sozialen Druck der 
Situation bzw. der Kommunikation preisgeben, wird von den anderen 
anwesenden Interaktionsteilnehmern zudem nur mental verarbeitet. Das 
heißt, es gibt in diesem Szenario kein automatisiertes Verfahren, das sich 
verselbstständigen kann und dadurch das »Recht auf informationelle 
Selbstbestimmung« auch ganz ohne Vorsatz irgendwelcher Beteiligter un- 
tergrübe. Immerhin können natürlich verheerende Gerüchte entstehen, die 
formal-rechtlich so gut wie nicht behandelbar sind. Datenschutz als gesell- 
schaftliche Institution spielt im Bewusstsein der Beteiligten keine Rolle und 
wird bei Konflikten auch nicht in Anspruch genommen. Sollte ein Interak- 
tant unerkannt als Mitglied einer Organisation für diese Organisation ar- 
beiten, vulgo: als „Datenschutzfachmann“ agieren, dann kommt mit der 
anschließenden Verschriftlichung der Beobachtungen durch ihn natürlich 
auch der Aspekt des Verhältnisses von Datenschutz und Organisation ins 
Spiel. 


Wenn jemand eine derart interaktionsorientierte, sozusagen »menschen- 
nahe: Vorstellung von Gesellschaft hat und dann insbesondere über Ano- 
nymität nachdenkt, dann erscheint eine pseudonyme/ anonyme Kommu- 
nikation als überflüssig und für den Fortbestand von Beziehungen als 
schädlich. Die Bedeutung von Datenschutz als möglicherweise notwendige 
gesellschaftliche Regelungsgröße zeichnet sich nicht ab. Eine derartig un- 
differenzierte Einschätzung der Anonymitätsproblematik ist denn auch 
charakteristisch für einfache bzw. vormorderne, gemeinschaftsnah struktu- 
rierte Gesellschaften, die man heute auch als »fundamentalistisch« bezeich- 
nen würde. 


Im Unterschied zu Interaktionssystemen ist bei Organisationssystemen (vgl. 
Baecker 1999; Luhmann 2000) das »Recht auf informationelle Selbstbe- 
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stimmung« dagegen auch formal von herausragender Bedeutung. Um diese 
Bedeutung darzulegen, muss zuvor eine weitere Unterscheidung einge- 
führt werden: Es ist zu unterscheiden zwischen den internen Mitgliedern 
einer Organisation, also etwa den Arbeitnehmern und dem Management; 
und der externen Klientel einer Organisation, konkret denke man hierbei 
an Bürger gegenüber der Verwaltung, an Kunden gegenüber Unternehmen 
oder Patienten gegenüber einem Krankenhaus. 


Zunächst zu den internen Organisationsmitgliedern: In Organisationen sind 
Menschen eingebunden, die zum einem als private Menschen mit ihren 
Eigenheiten agieren, zu einem anderen Teil jedoch Funktionen und festge- 
schriebene Rollenerwartungen im Sinne der Organisationsfunktionalität zu 
erfüllen haben, die sich nicht trivial mit dem »Recht auf informationelle 
Selbstbestimmung« vereinbaren lassen. Jedes Organisationsmitglied sieht 
sich mit guten Gründen gezwungen, einen Teil seiner Souveränität zeitlich, 
sachlich und sozial den Bedingungen einer Organisation zu unterwerfen. 
Anonymität/ Pseudonymität kann in dem Binnenverhältnis interner Orga- 
nisationsmitglieder, unter sozusagen klassischen Bedingungen einer Orga- 
nisationsstruktur, keine Rolle spielen, weil Entscheidungen an personale 
Verantwortung gebunden sind. Organisationen rechnen Entscheidungen 
auf Personen zu, wie kunstvoll (man könnte auch weniger euphemistisch 
sagen: wie ungerecht, absurd, unzutreffend, künstlich oder möglicherweise 
tragisch) auch immer das im Einzelnen geschehen muss. Der formale Da- 
tenschutz spielt zur Formung organisationsinterner Verwaltungskommuni- 
kation naturgemäß ebenso eine große Rolle und ist traditionellerweise 
weitgehend entlang der klassischen Arbeitnehmer/ Arbeitgeber-Konfliktli- 
nie orientiert, obwohl dieser eher quer dazu liegt. Es geht um die Rege- 
lung des Zugriffs auf den Einzelnen, auf das Maß, in dem das »Recht auf 
informationelle Selbstbestimmung« zeitlich, sachlich und sozial einge- 
schränkt ist, um die spezifische Funktionalität einer Organisation zu errei- 
chen. Datenschutz fungiert aus Mitarbeitersicht in diesem Sinne als eine Art 
Verfügungsschutz über die Organisationsmitglieder. Aus der abstrahierten 
Sicht der Organisation fungiert Datenschutz in Organisationen als diejenige 
Reflexionsinstanz, die insbesondere die personalen, sozialen und techni- 
schen Verwaltungsverfahren einer Organisation optimiert. 


Die andere Konfliktlinie, nämlich die Beziehung zwischen Organisationen 
und deren externer Klientel, ist jedoch die für den modernen Datenschutz 
zentrale. Organisationen unterminieren latent das »Recht auf informatio- 
nelle Selbstbestimmung« ihres externen Klientels. Denn Organisationen 
sind bestrebt, ihre Umwelten zu trivialisieren. Sie weiten durch Ansprüche 
an ihre Umwelt ihren Machtbereich aus und minimieren dadurch ihre in- 
ternen Verwaltungskosten. Sie neigen dazu, in diesem Sinne auch über ihr 
externes Klientel in der Art wie über interner Mitglieder zu verfügen. Ver- 
waltungen erwarten beispielsweise, dass Bürger sich selbst wie eine Ver- 
waltung - wenn auch zugestandenermaßen in einer Lightversion, denn 
man stellt z. B. keine allzu hohen Anforderungen an die Aktenführung der 
Bürger -, organisieren. Werbung, mit der eine Firma die Kunden einstim- 
men will bzw. eine autoritäre Aufforderung seitens einer Behörde, kann 
möglicherweise gar nicht anders als darauf abzuzielen, das »Recht auf in- 
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formationelle Selbstbestimmung« zu brechen. In allen Organisations-Klien- 
tel-Beziehungen ist das »Recht auf informationelle Selbstbestimmung« struk- 
turell latent gefährdet. Zugleich lässt sich feststellen, dass in einem weiten 
Umfang z.B. Pseudonyme von Organisationen für den Zugriff auf ihr 
Klientel genutzt werden können. Wenn als Zwischenglied bspw. Treu- 
händer zur Verfügung stehen, die den Akt der Warenübergabe und den 
Akt des Geldtausches jeweils entkoppeln, aber verfahrensmäßig aufeinan- 
der beziehen, dann kann der Geld- und Warentausch pseudonymisiert 
erfolgen. 


Dass Geld und Internetdienstleistung auf einem hohen Pseudonymisie- 
rungsniveau getauscht werden können, beweisen derzeit die im Rahmen 
des AN.ON-Projekts durchgeführten Studien zur anonymen Bezahlung der 
Nutzung einer Anonymisierungsinfrastruktur. Für Organisationen ist es in 
Bezug auf ihr Klientel weitgehend gleichgültig, ob sie es mit Realnamen 
oder Pseudonymen zu tun haben, solange die Funktionsbestimmungen der 
Organisationen nicht gefährdet sind. Realnames funktionieren für Organi- 
sationssysteme, anders als für Interaktionssysteme, aus dieser Sicht auch 
nicht anders als Pseudonyme. Organisationen sind nicht auf die Realnames 
ihres Klientels angewiesen, solange nur die Adressierbarkeit gewährleistet 
bleibt. Aus der Sicht des betroffenen Klientels sieht dies jedoch ganz an- 
ders aus, da man den Realname, im Unterschied zu einem (Transaktions- 
)Pseudonym, kaum abschütteln kann und somit permanent das Risiko der 
Verkettbarkeit von Kommunikationen durch Organisationen in zeitlicher, 
sachlicher und sozialer Hinsicht besteht. Wenn Realnames genutzt werden 
müssen, hat das Klientel keine Chance auf die Kontrolle über den Auf- 
oder Abbau von Reputation seitens der Organisation. 


Nach diesen Überlegungen bestünde die Aufgabe des institutionalisierten 
Datenschutzes darin, dafür zu sorgen, dass der Zugriff von Organisationen 
auf ihr Klientel über Realnames möglichst teuer bzw. der Zugriff über 
Pseudonyme möglichst billig wird. Und das Klientel ist, aufgrund der 
Technisierung der Verwaltung des Klientels und des immer gezielter mög- 
lichen Profilings auf Seiten der Organisationen gezwungen, selbst Technik 
zur Abwehr dieser besitzergreifenden Zugriffe der Organisationen insbe- 
sondere über das Internet einzusetzen. Teilen des institutionalisierten Da- 
tenschutzes ist spätestens seit Mitte der 90er-Jahre klar, dass der Daten- 
schutz seinerseits operativ werden muss (Stichwort: »Privacy Enhancing 
TechnologiesJ: Auf die theoretisch-analytische Spitze getrieben ließe sich 
von einer Industrialisierung des Datenschutzes sprechen. Konkret kann 
diese bspw. darin bestehen, dass die formalisierte Kommunikation, die in 
der durchgängig maschinell-internetgestützten Kommunikation zwischen 
einem Kunden und einer Firma genutzt wird, auf Wunsch von beiden 
Seiten durch den automatisierten Einbezug einer Datenschutz-Instanz in 
Realtime auf Datenschutzgerechtigkeit bewertet werden könnte. In diesem 
Zusammenhang wird P3P («Platform for Privacy Preferences«) als globali- 
siertes, standardisiertes Datenschutzprotokoll zum automatisierten Aushan- 
deln formalisierter Privacy-Policies zwischen Web-Browser und Web-Ser- 
ver, eine bedeutsame Rolle zukommen. 
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2 Grundlagen 


Hat man ein Gesellschaftsbild vor Augen, in dem Bürger als interne Orga- 
nisationsmitglieder der Superorganisation Staat angehören, hat man große 
Probleme damit, wenn Kommunikationen und Handlungen möglicher- 
weise nicht auf konkrete Personen zugerechnet werden können. Genau 
diese obrigkeitsstaatliche Sicht vertreten typischerweise in Verantwortung 
stehende Strafverfolger. Hat man dagegen ein Gesellschaftsbild vor Augen, 
wonach Bürger eher als externes Klientel der Superorganisation Staat an- 
zusehen sind, dann hat man ein vergleichsweise entspannteres Verhältnis 
zu Fragen der Anonymität. Letztere Vorstellung ist weitgehend kompatibel 
zu derjenigen des liberalen Rechtsstaates. 


Nunmehr gilt es, den Bezug zum dritten Systemtypus, den Gesellschafts- 
systemen herzustellen (vgl. Luhmann 1997). Hiernach stellt sich die Frage 
nach dem »Recht auf informationelle Selbstbestimmung: in einem gewissen 
Sinne gar nicht. Es obliegt nicht der persönlichen Entscheidungen, ob die 
Bezugnahme und Art der Informationsverarbeitung durch die Kommuni- 
kationsmedien Geld, Recht, Politik und Wissenschaft von den betroffenen 
Personen anerkannt wird oder nicht. Gesellschaftlich relevante Kommuni- 
kation erfolgt in diesen Kommunikationsmedien, deren Imperativen sich 
weltweit niemand entziehen kann. Ein Eremit, der mit Gesellschaft und all 
ihren unwiderstehlichen ökonomischen, politischen, rechtlichen und wis- 
senschaftlichen und kulturellen Mechanismen nichts zu tun haben will, hat 
in diesem Sinne keinen Anteil an der gesellschaftlich relevanten Kommu- 
nikation. Informationelle Selbstbestimmung in Bezug auf die Nutzung die- 
ser Kommunikationsmedien mutet einem Individuum die schlichte Erfül- 
lung der spezifischen Rollenerwartungen zu. Der Kunde hat seinen Nutzen 
zu optimieren, eine natürliche Person hat ihre Rechte und Pflichten zu 
kennen, ein Bürger hat sich für seine Interessen zu interessieren, ein Wis- 
senschaftler hat nach der Wahrheit zu suchen und ein Mensch hat sich 
selbst als vernunftbegabt aber triebgeleitet, biologisch verwurzelt aber 
sozial geformt, wahrzunehmen. 


Die Informationsverarbeitung personenbezogener Daten geschieht gemäß 
dieser stark standardisierten Rollenerwartungen ohne irgendwelche Zu- 
stimmungen des Einzelnen. Obwohl das Recht auf informationelle Selbst- 
bestimmung in Bezug auf diese Figuren gar nicht in Anspruch genommen 
werden kann, ist dieses Recht zugleich erst mit der funktionalen Separie- 
rung der gesellschaftlichen Subsysteme, die verstärkt mit Beginn des 16. 
Jahrhunderts einsetzte, entstanden. Seit dieser Zeit verdichtet sich die Vor- 
stellung vom autonom-souveränen Individuum, die von der Sozialphiloso- 
phie mit der beunruhigenden Paradoxie des massenhaften Zwangs zur 
Individualisierung flankiert wird. Im Hinblick auf den Datenschutz zeich- 
net sich jedoch ab, dass die juristische Bezugnahme nur auf das Indivi- 
duum und dessen Recht auf informationelle Selbstbestimmung unzurei- 
chend ist. Dies zeigt sich immer wieder, wenn auch noch recht unsyste- 
matisch, in juristischen Äußerungen: Im aktuellen Gutachten zum BDSG 
finden sich zunehmend entwickeltere Äußerungen zum Systemdatenschutz 
(vgl. Garstka/ Pfitzmann/ Roßnagel 2002). Man kann Systemdatenschutz 
soziologisch-systemtheoretisch gestützt nun so verstehen, dass es darum 
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geht, die funktionale Differenzierung in diesen sich selbst organisierenden, 
hoch effizienten Sozialsystemen zu erhalten. Konventionell spricht man 
von Demokratisierung, Marktorientierung, freier Wissenschaft und Rechts- 
staatlichkeit. Dies sind alles Aspekte, die sich durch eine Logik des jeweili- 
gen Systems aus sich selbst ergeben. Die durch starken EDV-Einsatz ge- 
prägten Organisationen, die sich anschicken, ihr Klientel im Grunde voll- 
ständig zu verwalten, - ich erinnere hier nur an Microsofts Passport - ge- 
fährden aber genau diese in der gesellschaftlichen Evolution erreichte 
Differenzierung. Deshalb steht es dem Datenschutz an, als Entropiewächter 
dafür zu sorgen, dass es nicht zu einem gesellschaftlichen Rückfall durch 
Entdifferenzierungen kommt, in dem Organisationen wieder alles hierar- 
chisch anordnen, anstatt dass die Unwägbarkeiten durch freie und ge- 
heime politische Wahlen, durch den Markt, durch die Souveränität der 
Legislative und eine thematisch nahezu schrankenlose Freiheit der Wissen- 
schaft eher noch ausgebaut werden. Und ein moderner Datenschutz tritt in 
dem Sinne als Modernisierungsagent auf, indem er neue Differenzen ein- 
zieht, indem er sich daran beteiligt, »Kommunikationsgrenzen« zu stabilisie- 
ren, die Systeme in ihrer Selbstorganisation zu stützen, um so einer durch- 
greifend technisierten Verkettbarkeit von Kommunikationen zu widerste- 
hen. 


5 Die neue Bedeutung der Anonymität 


Das Verteidigen der Möglichkeiten zur anonymen Kommunikation bedeu- 
tet ein Verteidigen des Funktionserhalts der gesellschaftlichen Subsysteme, 
deren zentrale Kommunikationen auch ohne namentlichen Bezug auf die 
jeweils konkret beteiligten Menschen auskommen. Anders formuliert: Sie 
bedeutet ein In-die-Schranken-Weisen der Ordnungsansprüche der durch 
den Einbau von Informationstechnik wieder mächtig gewordenen Organi- 
sationen. Wer für die Möglichkeit auch anonymer Kommunikationen plä- 
diert, spricht sich insofern für die Fortsetzung des gesellschaftlichen Mo- 
dernisierungsprozesses aus. 


In einer erweiterten Perspektive besteht die Funktion speziell des Daten- 
schutzes darin, Organisationen permanent auf die Risiken der Moderne 
einzustimmen und diese zu einer Optimierung der Formen ihrer »Kommu- 
nikationsverwaltung« zu bringen. Dies gelang »dem Datenschutz« von dem 
Moment an, an dem ihm, organisiert und somit auf Augenhöhe zu anderen 
Organisationen, ebenfalls die modernen Informations- und Kommunikati- 
onsmittel zur Verfügung standen. Datenschutz ist somit eine der wenigen 
auch praxisrelevanten Reflexionsinstanzen zum Management von Moderni- 
sierungsrisiken. Die Moderne sieht sich dabei immer der ergebnisoffenen 
Bewertung ausgesetzt, ob die Bilanz zwischen Chancen und Risiken 
stimmt. Politisch geht es um die Fortsetzung des Ausbaus der Vormacht- 
stellung einer gewissen »Kultur der Gleich-Gültigkeit gegenüber dem »ge- 
neralisierten Anderen«, um die politische Abwehr von »Wiedervergemein- 
schaftungsbestrebungen« mit unreflektierten, vorvertraglich-traditionellen, 
im Ergebnis vermutlich anti-demokratisch-patriarchischen Verhältnissen. 
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2 Grundlagen 


Nur in einer Kultur der reflektierten Gleich-Gültigkeit kann es ein tatsäch- 
lich realisiertes Recht auf informationelle Selbstbestimmung geben. 


Die Potentiale der Moderne sind dabei noch gar nicht ausgeschöpft. Die 
Moderne ist noch nicht an ihr Ende angelangt, wie es vielleicht die seit 25 
Jahren wohlfeile Formulierung der »Postmoderne« suggeriert. Sicher, naive 
Vorstellungen über die Möglichkeiten zur Ausübung gesellschaftlicher 
Kontrolle sind passé, jedoch lässt sich eine andere starke Traditionslinie 
moderner Argumentation ziehen: Im Zuge des Ausbaus der globalen, 
computergestützten Vollvernetzung steht derzeit die Durchdigitalisierung 
der Welt an. War das Industrialisierungsprojekt Anfang des 19. Jahrhun- 
derts noch mit Materialbearbeitung befasst, so setzt sich die Entwicklung 
heute mit Informationsbearbeitung fort und rundet sozusagen das Gesamt- 
projekt ab. Stehen heute jedem Haushalt in Form von Elektrizität und 
Kleinstelektromotoren »universalisierte Dampfmaschinen« zur Verfügung, 
so bietet das Internet einen über die Welt gezogenen, generalisierten 
Transmissionsriemen, der sogar bis in die Privathaushalte hineinreicht. 
Derzeit kann man durch die Vernetzung eine nochmals gesteigerte Be- 
schleunigung der Industrialisierung in solchen Bereichen wie der Planung 
und Entwicklung, des Managements, der Verwaltung, der Wissenschaft 
oder generell: der Dienstleistungen beobachten. Kennzeichnend ist, dass 
der Technisierung die Standardisierung von Kommunikation vorausgeht. 
Mit den Risiken, die mit dieser Technisierung einhergehen, wachsen 
zugleich auch die Mittel zu deren Beherrschung. Die Offenheit dieses Pro- 
zesses ist der Stress, den die Moderne permanent auszuhalten verlangt. 


Identitätsmanagement 


Es ist heute recht klar absehbar, dass schon bald sämtliche gesellschaftlich 
relevanten Kommunikationen, insbesondere die von Organisationen und 
deren Klientel, per Internet, oder zumindest: computergestützt, abgewi- 
ckelt werden. Auch unter diesen Bedingungen muss Anonymität gewähr- 
leistet sein, weil andernfalls, wie oben dargelegt, eine gesellschaftliche 
Entdifferenzierung droht. Insbesondere die Anforderungen an Anonymisie- 
rungstechnik in Computernetzen sind hoch, weil es sich hier, als Ergebnis 
der Industrialisierung auch des Ausübens sozialer Kontrolle, besonders 
bequem - eben: weitgehend automatisiert - beobachten lässt. 


Die Technisierung der Kommunikation kann ein Bürger/ Kunde/ Arbeit- 
nehmer nur dann schadensfrei bewältigen, wenn ihm seinerseits moderne 
Kommunikationstechnik dafür zur Verfügung steht, oder er es sich leisten 
kann, dass andere diese Arbeit für ihn übernehmen. Insbesondere müssen 
Techniken zur Verfügung stehen, die den differenzierten Umgang mit ver- 
schiedenen Organisationen unterstützen. Aus Nutzersicht gilt es, dabei den 
Überblick zu behalten und zugleich vieles weitgehend automatisiert ab- 
laufen lassen zu können. 


Ungleich komplexere Überlegungen zu einer solchen Datenschutz verbes- 
sernden Technik («Privacy-Enhancing Technology« (PET)) firmieren unter 
dem Begriff des »technisch gestützten Identitätsmanagements« (vgl. Han- 
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sen/ Rost 2002). Die Kernidee besteht darin, dass jeder Bürger über einen, 
problemlos bei sich zu tragenden, leistungsstarken persönlichen Computer 
(im Wortsinne eines tatsächlichen »Personal Digital Assistant«) verfügt, der 
maximal abgesichert eine Fülle persönlicher Daten im ausschließlichen 
Zugriff seines Besitzers vorhält, die in bestimmten sozialen Situationen für 
die Abwicklung der Kommunikation zwischen Klienten und Organisatio- 
nen herausgegeben oder besser noch: in die Rechner der Klienten herein- 
geholt und prozessiert werden können. Hierbei denke man an einen Da- 
tenaustausch eines Bürgers mit der Stadt oder Gemeinde, mit der Kran- 
kenkasse und dem Krankenhaus, mit der Polizei, mit der Schule, oder der 
Kommunikation von Arbeitgeber und Arbeitnehmer usw. Eine sehr wich- 
tige Grundlagentechnik in diesem Szenario besteht aus »Convertible Cre- 
dentials«. Credentials sind Beglaubigungen, die von einem Bereich in einen 
anderen Bereich umgerechnet werden können, ohne dass dadurch Daten 
zwischen den Bereichen getauscht werden müssen, und ohne dass die 
Reputation durch den Transfer verloren geht. Generell macht die Nutzung 
eines Identitätsmanagementsystems aber nur Sinn, wenn dieses auf einer 
verlässlich Anonymität gewährleistenden Infrastruktur aufsetzt. Deshalb 
kommt dem Gelingen des AN.ON-Projekts eine perspektivisch grundsätzli- 
che gesellschaftliche Bedeutung zu. 
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Anonymität im Rechtsalltag 


Anonymität als Grundlage für E-Commerce 


Prof. Dr. Bernd Rohwer 


1 Chancen und Risiken 


Das Internet bietet viel versprechende Perspektiven für die Zukunft - aber 
auch einen neuen Kanal, um in die Privatsphäre von Menschen einzubre- 
chen. In Zeiten, in denen eine einzige Information über beruflichen oder 
geschäftlichen Erfolg zu entscheiden vermag, kann das Internet neue kri- 
minelle Energien freisetzen. Jeder Schritt in die vernetzte Welt, sei es per 
PC, Telefon oder mit dem vernetzten Kühlschrank, birgt das Risiko, die 
Anonymität des Nutzers zu verletzen. 


Die neuen IT-Technologien werden daher nur dann auf Akzeptanz stoßen, 
wenn die Spielregeln des Datenschutzes eingehalten werden. Das System 
der Marktwirtschaft braucht auch in anderen Bereichen Spielregeln, um 
funktionieren zu können — vom Geschäfts- und Bankgeheimnis über das 
Patentrecht bis zur Wettbewerbsaufsicht. 


Entscheidend für den Erfolg der IT-Anwendungen ist also die Akzeptanz 
durch die Nutzer, das Maß an Vertrautheit und Vertrauen, das er neuen 
Entwicklungen entgegenbringt. Vertrautheit heißt, dass Bürgerinnen und 
Bürger sich auf die neuen Medien und Kommunikationsprozesse einlassen 
müssen. Die Politik hat diesem Bereich bereits große Aufmerksamkeit 
geschenkt, und auch wir in Schleswig-Holstein haben mit der Landesinitia- 
tive Informationsgesellschaft viel getan, um die Durchdringung mit den 
neuen Technologien und die Verbreitung von Medienkompetenz voran zu 
bringen. 


Deutschland ist europaweit Spitzenreiter im elektronischen Geschäftsver- 
kehr. Und rund die Hälfte der Bevölkerung nutzt heute das Internet — wo- 
bei Schleswig-Holstein nach dem letzten (N)Onliner-Atlas der Initiative 
D21 die meisten Internet-Aktiven in der Republik vorzuweisen hat. Aber: 
Die andere Hälfte der Bevölkerung nutzt das Internet bisher nicht, bedingt 
auch durch das mangelnde Vertrauen in die neuen Technologien und 
Prozesse. 


Eine Erhebung des Hamburger Marktforschungsinstituts Fittkau & Maaß im 
Jahr 2001 hat ergeben, dass fast 60 Prozent der Befragten die Übertragung 
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3 Anonymität im Rechtsalltag 


von Kreditkartennummern als Risiko betrachten. 56 Prozent der Befragten 
halten es für problematisch, dass persönliche Daten an Firmen weiterge- 
leitet werden. Dies bedeutet, dass es ein herausragendes Interesse an Da- 
tensicherheit und Anonymität im Internet gibt, und dass dieses Interesse 
zurzeit noch nicht ausreichend befriedigt wird. 


Wer zum Beispiel schon einmal einen Online-Händler wie Amazon genutzt 
hat, kennt das Spannungsfeld, indem sich Anbieter und Nutzer im Internet 
bewegen. Bei Amazon wird das Suchverhalten eines Nutzers in einem 
Profil gespeichert. Und beim nächsten Besuch erhält der User — wohlge- 
merkt nicht in einem Passwort-geschützten Bereich - die neusten Angebote 
aus den entsprechenden Themengebieten. 


Doch trotz der Bauchschmerzen, die viele Internet-Nutzer bei der Nutzung 
entsprechender Angebote haben, gibt es für den E-Commerce - und hier 
insbesondere für das B2C-Geschäft — viel versprechende Zahlen. Eine Stu- 
die von EMNID aus dem Jahr 2002 hat ergeben, 


e dass 61 Prozent aller privaten Internetbesucher mindestens ein Mal pro 
Monat eine Website besuchen, auf der eine Geschäfts-Transaktion 
möglich ist. 


e Der Anteil derer, die dabei innerhalb von sechs Monaten mindestens 
einmal Produkte oder Dienstleistungen im Internet kaufen, ist euro- 
paweit von 28 Prozent auf über 34 Prozent gestiegen. 


e Der E-Commerce-Umsatz ist im gleichen Zeitraum in Europa um 170 
Prozent gestiegen, wobei sich der E-Commerce-Umsatz-Index in 
Deutschland sogar verdreifacht hat. 


Schleswig-Holsteins Internetpolitik 


Ich meine, dass diese Entwicklung noch dynamischer ausfallen könnte, 
wenn Anonymität und Datensicherheit im Internet gewährleistet sind. 
Wenn E-Commerce-Anbieter Kunden gewinnen wollen, müssen sie deren 
Vertrauen gewinnen. Und das heißt letztlich, dass sie die Kunden von der 
Sicherheit der Transaktionen überzeugen müssen. 


E-Commerce-Anwendungen benötigen erheblich mehr Wissen über die 
Kunden als herkömmliche Angebote. Zugleich jedoch wissen viele Kunden 
überhaupt nicht, welche Daten über sie gespeichert werden. Diesen Inte- 
ressenkonflikt zu lösen ist die Aufgabe des Datenschutzes, man kann sie 
nicht der Selbstregulierung des Marktes überlassen. Hier ist die Aktivität 
des Staates gefragt, und auch die Landesregierung sieht sich hierbei in der 
Pflicht. 


Wir haben ein Maßßnahmenpaket geschnürt, das das Vertrauen der Bürge- 
rinnen und Bürger stärken soll. Zwei ganz konkrete Maßnahmen möchte 
ich nennen. Sie gehören zum E-Region-Programm (www.e-region-sh.de), 
das von der EU-Kommission aus dem EFRE kofinanziert wird, das wir 
gemeinsam mit der Technologiestiftung Schleswig-Holstein auf den Weg 
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gebracht haben und das von der EU unter einer Vielzahl von Anträgen als 
bestes Programm bewertet wurde. 


1. Das erste Projekt ist das IT-Gütesiegel und soll vor allem kleinen und 
mittelständischen Unternehmen aus Schleswig-Holstein helfen. Durch 
das Gütesiegel wird bescheinigt, dass das Produkt mit den Vorschrif- 
ten über Datenschutz und Datensicherheit vereinbar ist. Nach dem 
schleswig-holsteinischen Landesdatenschutzgesetz sind alle Behörden 
verpflichtet, vorrangig Produkte einzusetzen, die ein derartiges Güte- 
siegel haben. 


2. Mit dem Projekt Datenschutzaudit soll allen öffentlichen Stellen in 
Schleswig-Holstein bei öffentlich geförderten IT-Projekten ein gebüh- 
renfreies Datenschutzaudit ermöglicht werden. Von der regelmäßigen 
Beteiligung privater Firmen an den IT-Projekten erhoffen wir uns da- 
bei eine Sogwirkung und langfristig eine große Verbreitung dieses 
Datenschutzstandards. 


Beide Maßnahmen werden vom Unabhängigen Landeszentrum für den 
Datenschutz durchgeführt. Das Wirtschaftsministerium hat zudem ein neu- 
es Förderprogramm aufgelegt, mit dem die Konzeption und die Umsetzung 
anspruchsvoller, unternehmensumfassender B2B-Projekte gefördert wer- 
den soll. Der Schwerpunkt des B2B-Programms liegt dabei auf der Ganz- 
heitlichkeit: Das Internet soll komplett in die Arbeitsabläufe der kleinen 
und mittleren Unternehmen integriert werden. Durch eine intensive Bera- 
tung sollen die Unternehmen die Scheu vor dem Internet verlieren. Das 
Programm hat ein Volumen von insgesamt 1,5 Mio. Euro und läuft bis 
Ende 2004. 


Im Projekt „Datenschutz mit P3P für Internet-Surfer“ geht es darum, durch 
intelligenten Technikeinsatz die Internet-Surfer in ihrem Datenschutz und 
ihrer kommunikativen Selbstbestimmung zu stärken und zugleich die Ver- 
trauensbasis zwischen Nutzern und Anbietern im Internet zu stärken. Das 
Kürzel P3P steht für Platform for Privacy Preferences und soll ein neuer 
Standard für Online-Privacy werden. Es stellt eine einfache Möglichkeit für 
Websites dar, um ihre Privacy Policies in einem leicht auswertbaren For- 
mat auszudrücken. Der Nutzer kann so selbst entscheiden, unter welchen 
Bedingungen er bereit ist, dem jeweiligen Anbieter seine personenbezoge- 
nen Daten zur Verfügung zu stellen. 


Wir sind dem Unabhängigen Landeszentrum für den Datenschutz für das 
Engagement auf diesem Gebiet sehr dankbar und unterstützen diese Initi- 
ative sehr gerne. Das Projektvolumen umfasst insgesamt 120.000 Euro, 
wovon die Landesregierung 60.000 Euro übernimmt. 


Ich bin überzeugt, dass sich diese Investitionen für die Internet-Anwender 
und für unsere IT-Wirtschaft auszahlen werden. Eine florierende Informa- 
tionsgesellschaft wirkt als Katalysator für die wirtschaftliche Entwicklung 
einer Region, und Schleswig-Holstein ist auf dem besten Wege, die Wei- 
terentwicklung seiner Informationsgesellschaft in diesem Sinne zu nutzen. 


Das Recht auf Anonymität in der Zange gesetzlicher 
Identifizierungspflichten * 


Dr. Johann Bizer 


1 Anonymität als Verfassungsprinzip 


Die Gewährleistung des Rechts auf Anonymität gehört zu den grundlegen- 
den Prinzipien einer freiheitlichen Kommunikationsverfassung. Es bein- 
haltet die Entscheidungsbefugnis des Einzelnen, gegenüber anderen ohne 
Nennung des eigenen Namens aufzutreten und zu kommunizieren. Aus 
einer grundrechtsdogmatischen Perspektive formuliert schützt Recht auf 
Anonymität den Einzelnen davor, zur Aufdeckung seiner Identität ver- 
pflichtet zu werden. Als Grundrecht richtet es sich in erster Linie gegen 
Eingriffe des Staates, welches aber auch Auswirkungen auf die Privat- 
rechtsverhältnisse hat. Da jede Freiheit unter dem Vorbehalt des Gesetzes 
steht, ist ein staatlicher Zwang zur Aufdeckung der eigenen Identität nur 
verfassungsmäßig, wenn er auf der Grundlage eines Gesetzes erfolgt, das 
den Anforderungen des Grundsatzes der Verhältnismäßigkeit genügt. 


Grundlage des Rechts auf Anonymität ist eine kommunikationstheoretische 
Deutung des allgemeinen Persönlichkeitsrechts. Seine Aufgabe hat das 
Bundesverfassungsgericht in ständiger Rechtsprechung mit der „Aufrecht- 
erhaltung der Grundbedingungen sozialer Beziehungen“ umschrieben!. Im 
Vordergrund stehen die Voraussetzungen und Bedingungen, die es dem 
Einzelnen ermöglichen, seine Individualität zu entwickeln und zu wahren. 
Hierzu bedarf er „eines autonomen Bereiches privater Lebensgestaltung“, 
der ihm Möglichkeiten bietet, sich selbst gegenüber Dritten darstellen? und 
auf diese Weise auch erfahren und verstehen zu können?. Gegenüber 
einer statischen Interpretation einer „gesetzten“ Persönlichkeit geht diese 
verfassungsrechtliche Interpretation von einer kommunikativen Persön- 
lichkeitsentfaltung aus, in dem sich die Entwicklung des Einzelnen in einer 
Auseinandersetzung und Reflektion mit seiner Umwelt vollzieht. Das Per- 
sönlichkeitsrecht schützt diesen dynamischen Entwicklungsprozesses, in 
dem sich der Einzelne in Rollen und Identitäten „ausprobieren“ und in den 
Reaktionen seiner Mitmenschen erfahren können muss. Ein zentraler As- 


# Der Beitrag ist meiner Mentorin Prof. Dr. Marie-Theres Tinnefeld mit Dank für Zuspruch 
und Ermutigung gewidmet. 
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3 Vgl. BVerfGE 79, 256, 268 f. 
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pekt dieses Rechtes ist die Möglichkeit, unter seinem eigenem Namen in 
der Öffentlichkeit sein höchstpersönliches Lebensschicksal schildern zu 
dürfen, selbst wenn auf diese Weise auch der Name des eigenen Vaters 
offenbart wird*. Andere Ausprägungen des Persönlichkeitsrechts schützen 
die Möglichkeit, aus eigener Entscheidung anonym oder unter fremden 
Namen (Pseudonym), sich in sozialen Kontexten darstellen zu dürfen. 


In dem sozialen Prozess der Persönlichkeitsentwicklung spielen Informati- 
onen über die betreffende Person eine maßgebliche Rolle, weil diese nicht 
nur die Einstellung gegenüber der Person, sondern in der Spiegelung 
durch Dritte auch das Selbstbild der betroffenen Person beeinflussen und 
prägen können. Autonomie der Person bedeutet in diesem Zusammen- 
hang, das Selbstbild nicht durch eine fremdbestimmte Steuerung von In- 
formationen prägen zu lassen, sondern die Befugnis über die eine be- 
stimmte Person betreffenden Informationen der betroffenen Person zu- 
nächst einmal selbst zuzuweisen. Der Betroffene selbst muss, um Persön- 
lichkeit entwickeln und sein zu können, wissen, wer was wann über ihn 
weiß. Aus diesem Grund schützt das aus dem Allgemeinen Persönlich- 
keitsrecht entwickelte informationelle Selbstbestimmungsrecht die Befugnis 
des Einzelnen, über die Verwendung der ich ihn betreffenden Informatio- 
nen selbst bestimmen und verfügen zu können®. Ein Recht, das nicht nur 
als Grundrecht gegenüber dem Staat in Anspruch genommen werden 
kann, sondern auch auf die Privatrechtsverhältnisse Dritter ausstrahlt und 
deren Auslegung und Anwendung bestimmt’. 


Der komplexe Prozess der Persönlichkeitsentwicklung beschränkt sich 
jedoch bei weitem nicht auf die Möglichkeiten des Einzelnen, sich selbst 
auf der Grundlage verfügbarer Informationen verstehen und entwickeln zu 
können®. Von mindestens ebenso großer Bedeutung ist die Möglichkeit, in 
beliebigen sozialen Kontexten — auch auf unterschiedliche Weise — darstel- 
len und kommunizieren zu können?. Zwar sind der Selbstdarstellung 
durch die Reaktionsmöglichkeiten der Kommunikationspartner Grenzen 
gesetzt, weil diese nicht jede Form der sozialen Selbstdarstellung an- 
nehmen und auf diese reagieren müssen, gleichwohl eröffnet sie dem 
betreffenden Kommunikanten die Möglichkeit, sich in unterschiedlichen 
Verhaltensweisen und Rollen darzustellen, erfahren und damit auch entwi- 
ckeln zu können. Wegen dieser für die Entwicklung von Individualität 
prägenden Bedeutung schützt das Allgemeine Persönlichkeitsrecht daher 
auch das Wechselspiel aus Darstellung, Rückkoppelung und Verarbeitung 
von Erfahrungen. Ein Baustein in diesem Konzept ist die Gewährleistung 


4 BVerfGE 97, 391, 402. 

5 Podlech in: AK-GG, 1. Aufl. 1984, BVerfGE 65, 1, 43. 
6 BVerfGE 65, 1, 43. 

7 BVerfGE 84, 192, 195. 

8 Siehe BVerfGE 79, 256, 268 f. 

9 Vgl. BVerfGE 35, 202, 220; 82, 268, 235. 
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der Befugnis, sich in sozialen Kontexten und Beziehungen auf eigene, d.h. 
selbstbestimmte Weise darstellen und damit entscheiden zu können, „wel- 
ches Persönlichkeitsbild er von sich vermitteln will“1%. Dieses Recht um- 
fasst also nicht nur die substantiellen Aspekte einer eigenen Persönlichkeit, 
sondern es schützt auch die zunächst nur formale Möglichkeit, ohne Nen- 
nung des eignen Namens (anonym) bzw. unter Nennung eines anderen 
Namens (pseudonym) gegenüber anderen sozial zu interagieren. Auf diese 
Weise ist das gewährleistet, im Rahmen eigener Persönlichkeitsentfaltung 
nicht nur in festen Rollenzuweisungen zu kommunizieren, sondern diese 
Rollen auch zu entwickeln, um sich die damit verbundenen Erfahrungen 
anzueignen oder zu verwerfen. 


Die Bedeutung anonymer Selbstdarstellung ist von der Rechtsprechung vor 
allem im Zusammenhang mit dem Schutz der psychischen Integrität einer 
Person in Beratungssituationen erkannt und thematisiert worden. In seiner 
zweiten Schwangerschaftsentscheidung hat das Bundesverfassungsgericht 
darauf verwiesen, dass eine erfolgreiche Beratung voraussetze, dass die 
betroffene Frau sich an der Suche nach einer Lösung beteilige. Um dies zu 
ermöglichen, sei auch der Verzicht auf eine Verpflichtung der Betroffenen 
gerechtfertigt, sich im Beratungsgespräch als Person zu identifizieren!!, 
also anonym bzw. pseudonym zu erscheinen und sich beraten zu lassen. 
In einer früheren Entscheidung hatte das Gericht die Geheimhaltung von 
Informationen über die Anbahnung und die Inhalte einer Beziehung zwi- 
schen einem Berater und seinem Klienten als unabdingbare Voraussetzung 
für die Arbeit von Beratungsstellen bezeichnet!? und vor diesem Hinter- 
grund die Verfassungsmäßigkeit der Beschlagnahme von Akten über ge- 
führte Beratungsgespräche einer differenzierten Bewertung unterzogen. 


Unter dem Gesichtspunkt der Entwicklung und Verfügung über das eigene 
Persönlichkeitsmodell ermöglicht das Recht auf Anonymität selbstbestimm- 
tes Handeln in sozialen Kontexten. Im Volkszählungsurteil hat das Bun- 
desverfassungsgericht die Bedeutung der Bestimmungsbefugnis des Ein- 
zelnen herausgearbeitet, „grundsätzlich selbst über die Preisgabe und Ver- 
wendung seiner Daten zu bestimmen‘“13. Dieses Recht entwickelt das Ge- 
richt im Anschluss an eine Aussage, in der es auf den Zusammenhang von 
Wissen und Verhalten verweist: „Wer unsicher ist, ob abweichende Verhal- 
tensweisen jederzeit notiert und als Information dauerhaft gespeichert, 
verwendet oder weitergegeben werden, wird versuchen, nicht durch sol- 
che Verhaltensweisen aufzufallen“!*. Den Zusammenhang zwischen der 
Erhebung personenbezogener Daten und der Gefahr, sein Verhalten an 
fremden Erwartungen auszurichten, hat das Gericht später auch in seiner 


10 BVerfGE 82, 268, 235. 
11 BVerfGE 88, 203, 282. 
12 BVerfGE 44, 353, 376. 
13 BVerfGE 65, 1, 43. 
14 BVerfGE 65, 1, 43. 
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Entscheidung zur strategischen Fernmeldeüberwachung aufgegriffen und 
verschärft, indem es auf das Problem einer vorweggenommenen Fremd- 
steuerung verwiesen hat. „Die Befürchtung einer Überwachung mit der 
Gefahr einer Aufzeichnung, späteren Auswertung, etwaigen Übermittlung 
und weiteren Verwendung durch andere Behörden kann schon im Vorfeld 
zu einer Befangenheit in der Kommunikation, zu Kommunikationsstörun- 
gen und zu Verhaltensanpassungen, hier insbesondere zur Vermeidung 
bestimmter Gesprächsinhalte oder Termini, führen“!. Nimmt man diese 
Skizzierung verfassungsrechtlich unerwünschter Nebenfolgen auf, dann 
bleibt als Schlussfolgerung der Schutz und die Förderung von Möglichkei- 
ten der Anonymisierung, die eine Identifizierung des Betroffenen zuverläs- 
sig vermeiden hilft und als Voraussetzungsschutz von Persönlichkeitsent- 
wicklung eine angstfreie Kommunikation ermöglicht. 


Schließlich bietet auch die Rechtsprechung zum Namensrecht Ansatz- 
punkte für die Entfaltung eines Rechts auf Anonymität. Danach ist der 
Name eines Menschen „Ausdruck seiner Identität und seiner Individuali- 
tät“10. Es ist der Name, der es Dritten ermöglicht, eine Person zu identifi- 
zieren, ihr Äußerungen und damit ein Persönlichkeitsbild zuzuordnen, sie 
zu beurteilen und sich ihr gegenüber zu verhalten!’. Entsprechendes muss 
dann auch für die negative Variante des Rechts auf einen eigenen Namen 
gelten, nämlich das Recht, ihn nicht gegenüber anderen verwenden zu 
müssen und damit anonym „in der Deckung“ nicht namentlich genannter 
Personen zu verbleiben. 


Allerdings findet das Recht auf Anonymität — wie jedes Freiheitsrecht - 
seine Schranken in Eingriffsgesetzen des staatlich gesetzten Rechts, die 
wiederum durch überwiegende Gemeinwohlinteressen bzw. durch die ver- 
fassungsrechtlich geschützten Rechtspositionen Dritter gerechtfertigt, ins- 
besondere verhältnismäßig sein müssen. Trotz dieser Einschränkung ist 
zunächst die grundsätzliche Bedeutung des Rechts auf Anonymität als 
Regelfall hervorzuheben, gegenüber der sich die gesetzlich angeordneten 
Identifikationspflichten als Ausnahme rechtfertigen müssen. Die folgende 
Beschreibung dient dazu, die Reichweite und Grenzen des Rechts auf 
Anonymisierung in der Rechtsordnung zu skizzieren. Zentraler Angelpunkt 
sind hierbei die gesetzlich festgelegten Identifikationspflichten. 


2 Die Anonymität im Rechtsverkehr 


Das deutsche Recht kennt keine generelle Verpflichtung, wonach der Ein- 
zelne in seiner sozialen Kommunikation mit anderen Menschen unter dem 
eigenen Namen erscheinen, reden oder sonst handeln muss. Keine der 
grundrechtlich geschützten Freiheiten entfaltet ihre Schutzwirkungen ge- 


15 BVerfGE 100, 313, 381. 
16 BVerfGE 104, 373, 385. 
17 BVerfGE 97, 391, 400. 
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genüber der staatlichen Gewalt erst, wenn der Betroffene bereit ist, sie 
unter seinem Namen wahrzunehmen. Der Einzelne kann demnach grund- 
sätzlich ohne staatlichen Identifizierungszwang mit anderen Personen in 
Kontakt treten und mit ihnen sozial interagieren. Allerdings ist diese Hand- 
lungsmöglichkeit durch umfassende Verpflichtungen, sich gegenüber an- 
deren identifizieren zu müssen, bzw. durch staatliche Befugnisse, einzelne 
Personen ohne deren Wissen identifizieren zu können, begrenzt. 


Die Pflicht zur Identifizierung gegenüber Behörden 


Die Verpflichtung eines jeden Deutschen, ab Vollendung seines 16. Le- 
bensjahres einen Personalausweis zu besitzen, dient in erster Linie dazu, 
„ihn auf Verlangen einer zur Prüfung der Personalien ermächtigten Be- 
hörde vorzulegen“ ($ 1 Abs. 1 PersAuswG). Entsprechendes gilt für Aus- 
länder, deren rechtmäßige Einreise und Aufenthalt im Inland einen gülti- 
gen Pass voraussetzt ($ 3 AufenthG), den sie ebenfalls auf Verlangen den 
Behörden vorzulegen haben ($ 48 Abs. 1 AufenthG). Eine solche behörd- 
lich legitimierte Identifizierung erfolgt bspw. im Strafverfahren zur Fest- 
stellung der Person eines Beschuldigten ($ 163b StPO) oder von Zeugen 
($ 68 StPO). Entsprechende Verpflichtungen bestehen für präventive Zwe- 
cke nach den Polizeigesetzen des Bundes und der Länder für Zwecke der 
Gefahrenabwehr sowie im sonstigen Verwaltungsverfahrensrecht der Ein- 
griffsverwaltung zur Feststellung des Adressaten eines belastenden Ver- 
waltungsaktes bzw. im Bereich der Leistungsverwaltung zur Identifizierung 
eines berechtigten Leistungsempfängers insbesondere durch formelle An- 
forderungen an eine Antragstellung. 


Die Verpflichtung zur Identifizierung gegenüber den Behörden zieht aller- 
dings noch keine Identifizierungspflicht der Bürgerinnen und Bürger für 
ihre soziale Interaktion untereinander nach sich. Diese kann sich aus be- 
sonders geregelten Rechtspflichten zumeist einer Partei ergeben, die an ein 
bestimmtes rechtsgeschäftliches Handeln anknüpfen und noch näher dar- 
zustellen sind. 


Allerdings findet sich im Onlinerecht auch der umgekehrte Fall einer staat- 
lichen Verpflichtung, den Nutzern von Tele- und Mediendiensten die Inan- 
spruchnahme des Dienstes und seine Bezahlung anonym oder unter Pseu- 
donym zu ermöglichen, soweit dies technisch möglich und zumutbar ist 
($ 4 Abs. 6 TDDSG, $ 18 Abs. 6 MDStV, $47 a RdfStV). In der Praxis des 
Onlinegeschäftes setzt die Umsetzung entweder eine kostenlose Nutzung 
oder aber eine Bezahlung mit Hilfe eines Dienstleisters voraus, der entwe- 
der eine vorbezahlte Wertkarte ausgibt, von der der Online-Dienstanbieter 
sein Entgelt abbucht, oder der gegenüber dem Online-Dienstanbieter für 
die Bonität der Kaufpreisforderung eintritt und deren Ausgleich vermittelt. 
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2.2 


Anonymität und Identifizierung zwischen Vertragspartnern 


e Vertragsschluss 


Für das rechtsgeschäftliche Handeln ist als Grundprinzip festzuhalten, dass 
die Wirksamkeit einer Willenserklärung oder einer sonstigen rechtsge- 
schäftlichen Erklärung nicht davon abhängig ist, ob ihr Urheber sie unter 
seinem wirklichen Namen abgegeben hat. In den so genannten Rechtsge- 
schäften des täglichen Lebens, bei denen Ware und Geld unmittelbar aus- 
getauscht werden, ist es für die Wirksamkeit des Rechtsgeschäfts unerheb- 
lich, ob die Personen unter einem oder ihrem Namen gehandelt haben. In 
der Regel werden diese „Theken- oder Kassengeschäfte“ zumindest auf 
Seiten des Kunden bzw. Verbrauchers namenlos abgewickelt. In den übri- 
gen gegenseitigen Rechtsgeschäften bleibt ein namenloses Vertragsangebot 
vertragsrechtlich und damit auch praktisch folgenlos. Ein unter einem 
Pseudonym unterbreitetes Vertragsangebot ist prinzipiell wirksam, soweit 
es nach den Umständen und einem objektiven Empfängerhorizont eine 
Zuordnung zu einer Person ermöglicht. Die Interessen des Erklärungs- 
empfängers sind ausreichend geschützt, da es ihm überlassen bleibt, ob er 
auf die Erklärung reagiert und diese annimmt oder auf eine Annahme 
verzichtet. Nimmt er das Angebot an, so wird die Person des Erklärenden 
verpflichtet und berechtigt, unter welchem Namen sie auch immer auftritt. 
Die Folgen einer erschwerten Beweisführung gegenüber dem Erklärenden 
gehen zu Lasten der die Erklärung annehmenden Person, weswegen in der 
Praxis derartige Rechtsgeschäfte auch nur zustande kommen, wenn die 
beiderseitigen Sicherheitsinteressen ausreichend befriedigt werden. 


In den Fällen einseitiger Rechtsgeschäfte, die wie bspw. Anfechtung, Wi- 
derruf, Rücktritt oder Kündigung gegenüber einer anderen Partei erklärt 
werden, liegt es im Interesse der erklärenden Person, dem Empfänger eine 
ausreichend eindeutige Zuordnung zu seiner Person zu ermöglichen. An- 
dernfalls bliebe die Erklärung mangels einer ausreichenden Identifizierung 
ohne rechtliche Wirkung. Die Erklärung muss aber nicht unter dem ge- 
setzlichen Namen der Person abgegeben werden. Ausreichend ist es, wenn 
sie dem Empfänger unter Berücksichtigung eines objektivierten Empfän- 
gerhorizonts eine Zuordnung zu der Ausgangserklärung ermöglicht. 


° Identifizierungspflichten des Anbieters bzw. Unternehmers 


Allerdings ist die Möglichkeit, anonym oder pseudonym im Rechts- und 
Wirtschaftsverkehr aufzutreten, auf die Verbraucher beschränkt. Sowohl 
offline als auch online sind die gewerbsmäßigen Anbieter bzw. Unterneh- 
mer durch eine Reihe von Bestimmungen verpflichtet, unter ihrem Namen 
nach außen aufzutreten. So verlangen bspw. die handelsrechtlichen Vor- 
schriften über die Firma, unter der ein Eintrag ins Handelsregister erfolgt 
und bekannt gemacht wird, eine deutliche Unterscheidung von allen an 
demselben Ort oder derselben Gemeinde bereits bestehenden und bereits 
eingetragenen Firmen ($ 30 Abs. 1 HGB). Gewerbetreibende, die eine 
Verkaufsstelle, Betriebsstelle oder Gaststätte (s.a. $ 13 Abs. 2 GastG) mit 
Publikumsverkehr („offene Verkaufsstelle“) betreiben, sind darüber hinaus 
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verpflichtet, „ihren Familiennamen mit mindestens einem ausgeschriebe- 
nen Vornamen“ an der Außenseite oder am Eingang in deutlich lesbarer 
Schrift anzubringen ($ 15 a Abs. 1 GewO). Entsprechendes gilt für Firmen, 
die im Handelsregister eingetragen sind ($ 15 a Abs. 2 f. GewO). Schließ- 
lich bestehen gesonderte Transparenzregeln über Firma und Anschrift für 
die Gestaltung von Geschäftsbriefen, die an bestimmte Empfänger gerich- 
tet sind. Pflicht und Inhalt ergeben sich für die in das Handelsregister ein- 
getragenen Kaufleute aus $ 37 a Abs. 1 HGB sowie für Gewerbetreibende, 
deren Firma nicht im Handelsregister eingetragen ist, aus § 15 b GewO. 
Ferner lassen sich Angaben über die Verhältnisse eines Anbieters bzw. 
Unternehmers aus den einschlägigen handelsrechtlichen Registern gewin- 
nen, soweit eine entsprechende Eintragungspflicht besteht (Handels-, Ge- 
nossenschafts- oder Partnerschaftsregister), vor allem wenn der Zugang 
auch online ermöglicht wird. 


Darüber hinaus gelten gesonderte Identifizierungspflichten für die Anbieter 
von Tele- und Mediendiensten im Rahmen der Anbieterkennzeichnung 
nach $6 TDG / $10 Abs. 1 MDStV. Neben Name und Anschrift des An- 
bieters bzw. seiner Vertretungsberechtigten sind auch berufsbezogene 
Angaben einschließlich der zuständigen Aufsichtsbehörden sowie der ein- 
schlägigen Registereinträge erforderlich. Ferner hat der Unternehmer ($ 14 
BGB) den Verbraucher vor Abschluss von Fernabsatzverträgen ($ 312b 
Abs. 1 BGB) vor Vertragsabschluss über seine Identität zu unterrichten 
($ 312 c Abs. 1 Nr. 1 i.V.m. $1 Abs. 1 Nr. 1 BGBlInfVO). Zudem erfolgt 
eine Identifizierung des Anbieters in der Regel über die Ausstellung einer 
Quittung ($ 368 BGB) bzw. einer Rechnung ($ 14 Abs. 1 UStG), die der 
Rechnungsempfänger zur Durchführung eines Vorsteuerabzuges benötigt. 


e Identifizierung des Kunden bzw. Verbrauchers 


Mit Ausnahme der Inanspruchnahme und Bezahlung von Tele-, Medien- 
oder Rundfunkdiensten, die die Anbieter ihren Nutzern nach $4 Abs. 6 
TDDSG, $ 18 Abs. 6 MDStV, $47 a RdfStV anonym oder pseudonym zu 
ermöglichen haben, können die Anbieter bzw. Unternehmer von ihren 
Kunden bzw. Verbrauchern allerdings im Rahmen der Privatautonomie 
verlangen, unter eigenem Namen zu handeln. Das staatliche Recht erlaubt 
es jedenfalls ausdrücklich, sich der amtlichen Ausweispapiere als „Aus- 
weis- und Legitimationspapier“ auch im nicht-öffentlichen Rechts- und 
Geschäftsverkehr zu bedienen ($ 4 Abs. 1 PersonAuswG). 


In der Praxis entscheiden die Anbieter über eine Identifizierung häufig 
nach pragmatischen Kriterien von Aufwand und Ertrag einer solchen häu- 
fig auch zeitaufwendigen Maßnahme. Bei den bereits erwähnten Rechtsge- 
schäften des täglichen Lebens unterbleibt sie in der Regel, weil im Ge- 
schäft Ware gegen Geld erstens kein Sicherungsbedürfnis besteht und 
zweitens die Identifizierung zu aufwändig ist. Eine Identifizierung des 
Kunden bzw. Verbrauchers anhand seines Personalausweises erfolgt in der 
Regel nur, um eine Liefer- bzw. Rechnungsanschrift zu verifizieren. Auch 
wenn die im Ausweis angegebene Anschrift nicht die aktuelle Anschrift 
des Kunden bzw. Verbrauchers sein muss, so bietet sie zumindest einen 
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ersten Ansatzpunkt, um über eine einfache Melderegisterauskunft zumin- 
dest die letzte Anschrift des Kunden in Erfahrung zu bringen, unter der der 
Schuldner gemeldet war. Im Fall einer Warenlieferung an die Rechnungs- 
adresse wird das Sicherungsinteresse in der Regel dadurch befriedigt, dass 
die Ware von dem Postdienstleister nicht zugestellt werden kann und wie- 
der an den Lieferanten zurückgeht, wenn der Kunde unter der von ihm ge- 
nannten Anschrift nicht erreichbar ist. 


Größere Bedeutung als die Identifizierung über das amtliche Ausweispa- 
pier hat in der Praxis eine Identifizierung des Käufers mit Hilfe der von 
den Banken oder Kreditkartenorganisationen ausgegebenen Zahlungskar- 
ten (Ec-Karten, Kreditkarten), weil diese gleichzeitig auch das Zahlungsri- 
siko des Verkäufers abdecken. Eine zuverlässige Identifizierung des Kun- 
den über Zahlungskarten ist -— zumindest in Deutschland — möglich, weil 
Voraussetzung für die Ausgabe einer Kredit- bzw. Ec-Karte die Eröffnung 
eines Kontos bei der kartenausgebenden Organisation ist. Nach $ 154 
Abs. 1 AO darf jedoch niemand „auf einen falschen oder erdichteten Na- 
men für sich oder einen Dritten ein Konto errichten oder Buchungen vor- 
nehmen lassen (...)“. Nach Abs. 2 dieser Regelung hat die Bank zudem als 
kontoführende Stelle sich vor Kontoeröffnung „Gewissheit über die Person 
und Anschrift des Verfügungsberechtigten zu verschaffen und die entspre- 
chenden Angaben in geeigneter Form, bei Konten auf dem Konto, festzu- 
halten“. Ferner hat sie sicherzustellen, dass sie „jederzeit Auskunft darüber 
geben kann, über welche Konten (...) eine Person verfügungsberechtigt 
ist“. Mit Hilfe dieser staatlich geregelten Identifizierungspflichten bietet das 
Zahlungssystem eine zuverlässige Identifizierung eines Kontoinhabers. 


Darüber hinaus verpflichtet das Geldwäschegesetz (GwG), Kredit- und 
Finanzdienstleistungs- sowie Finanzunternehmen, jeden Vertragspartner 
bei Abschluss eines Vertrages „zur Begründung einer auf Dauer angelegten 
Geschäftsbeziehung“ zu identifizieren (§ 2 Abs. 1 GwG). Dabei hat das 
Institut den Namen aufgrund eines gültigen Personalausweises oder Reise- 
passes festzustellen sowie das Geburtsdatum, den Geburtsort, die Staatsan- 
gehörigkeit und die Anschrift, soweit sie darin enthalten sind. Ferner sind 
Art, Nummer des Ausweises sowie die ausstellende Behörde festzustellen 
($ 1 Abs. 5 GwG). Schließlich hat sich das Institut bei dem zu Identifizie- 
renden zu erkundigen, ob dieser für eigene Rechnung handelt und ggf. 
Name und Anschrift desjenigen festzuhalten, auf dessen Rechnung dieser 
handelt ($ 8 Abs. 1 GwG). Die Aufzeichnungen sind sechs Jahre aufzube- 
wahren (§ 9 Abs. 3 GwG). Sie unterliegen zwar einer Zweckbindung, die 
auf die Verfolgung einer Straftat nach $ 261 StGB (Geldwäsche), der jewei- 
ligen Ursprungstat ($ 261 Abs. 1 Satz 1 Nr. 1 bis 5 StGB) sowie ein damit 
zusammenhängendes Besteuerungsverfahren bzw. Steuerstrafverfahren 
beschränkt ist ($ 10 GwG). Diese ist im vorliegenden Zusammenhang al- 
lerdings nicht entscheidend, weil es lediglich auf die staatliche Ver- 
pflichtung der kontoführenden Institute ankommt, ihre Kunden zuverlässig 
zu identifizieren und diese Daten bereit zu halten. Darüber hinaus sind die 
Kreditinstitute verpflichtet, eine Datei über die von ihnen jeweils geführten 
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Konten nach Nummern, dem Datum der Eröffnung bzw. der Auflösung so- 
wie des Kontoinhabers zu führen, aus der die Bundesanstalt für Finanz- 
dienstleistungsaufsicht Daten im automatisierten Verfahren abrufen und an 
die zuständigen, im Gesetz aufgezählten Behörden auf deren Ersuchen 
insbesondere zur Bekämpfung von Geldwäschestraftaten übermitteln kann 
(§ 24 c KWG). 


Ein weiterer Ansatzpunkt zur näheren Identifizierung von Kunden bzw. 
Verbrauchern ergibt sich schließlich über die Einträge in öffentlichen Tele- 
kommunikationsverzeichnissen, die allerdings nach den datenschutzrechtli- 
chen Regelungen freiwillig sind (§ 89 Abs. 8 TKG i.V.m. § 13 TDSV). Zum 
einen kann der Kunde einer Auskunft über seine Rufnummer widerspre- 
chen, zum anderen muss er mit einer über die Rufnummer hinausgehen- 
den Auskunft (bspw. Anschrift) ausdrücklich einverstanden sein (§ 14 
Abs. 2, 4 TDSV). Soweit Teilnehmer allerdings einem Kundeneintrag mit 
Name und Anschrift zustimmen, werden diese Angaben in der Regel auch 
stimmen. Zum einen erwartet der TK-Dienstleister eine Ermächtigung, um 
fällige Entgelte vom Konto des Kunden einziehen zu können, zum ande- 
ren können sie eine Identifizierung des Kunden mit Hilfe eines amtlichen 
Ausweisdokuments verlangen (§ 5 Abs. 4 TDSV). 


Die Grenzen der Anonymität im Datenschutzrecht 


Das Recht auf Anonymität gehört zu den impliziten Regeln des Daten- 
schutzrechts. Als so genannte faktische Anonymität ist der fehlende Perso- 
nenbezug die rechtliche Schranke, die eine Anwendung des Datenschutz- 
rechts ausschließt (§ 3 Abs. 1, 6 BDSG). Diese Anforderung ist erfüllt, 
wenn der Personenbezug eines Datensatzes durch Löschung der Identifi- 
zierungsmerkmale ausgeschlossen werden kann. Es ist nach § 3 Abs. 6 
BDSG aber auch ausreichend, wenn eine Zuordnung von Einzelangaben 
über persönliche oder sachliche Verhältnisse zu einer bestimmten oder 
bestimmbaren natürlichen Person „mit einem unverhältnismäßig großen 
Aufwand an Zeit, Kosten und Arbeitskraft“ verbunden wäre. 


Technikgestaltung 


Eine Flankierung erfährt das Recht auf Anonymität durch das Prinzip der 
datenvermeidenden und -sparsamen Technikgestaltung im allgemeinen 
Datenschutzrecht. Nach § 3 a BDSG hat sich die Gestaltung und Auswahl 
von Datenverarbeitungssystemen an dem Ziel auszurichten, keine oder so 
wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten 
oder zu nutzen. Insbesondere ist nach Satz 2 der Vorschrift, „ron den Mög- 
lichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu ma- 
chen, soweit dies möglich ist und der Aufwand in einem angemessenen 
Verhältnis zu dem angestrebten Schutzzweck steht“. Eine entsprechende 
Regelung besteht nach $ 3 Abs. 4 TDSV für den Bereich der Telekommu- 
nikationsdienste. Diese Regeln verpflichten die Anbieter bzw. Unternehmer 
im Rahmen ihrer Verantwortlichkeit für die Verarbeitung personenbezoge- 
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ner Daten diese entweder erst gar nicht zu erheben oder den Personenbe- 
zug durch wirksame Maßnahmen der Anonymisierung oder zumindest der 
Pseudonymisierung durch technische Auswahl- bzw. Gestaltungsmaßnah- 
men zu reduzieren bzw. aufzuheben. 


Gegenüber einer Anonymisierung ist die Pseudonymisierung personenbe- 
zogener Daten ein schwächeres Mittel, den Personenbezug eigener Daten 
zu vermeiden. Nach der Legaldefinition werden bei einer Pseudonymisie- 
rung Name und andere Identifikationsmerkmale durch ein Kennzeichen 
ersetzt, um auf diese Weise die Bestimmung des Betroffenen auszuschlie- 
ßen oder wesentlich zu erschweren ($ 3 Abs. 6 a BDSG). Im Unterschied 
zur Anonymisierung zeichnet sich die Pseudonymisierung durch die Exis- 
tenz einer Zuordnungsregel aus, die den Zusammenhang zwischen Kenn- 
zeichen und dem Namen bzw. den Identifikationsmerkmalen beschreibt. 
Wegen dieser Zuordnungsregel sind nach $ 3 Abs. 6 BDSG pseudonymi- 
sierte Daten praktisch immer personenbeziehbar und damit nicht anonym. 
Dafür bietet sich eine Pseudonymisierung personenbezogener Daten je- 
doch als ein datenschutzfreundlicher Mittelweg zwischen der Aufrechter- 
haltung des Personenbezuges und einer vollständigen Anonymisierung an. 


Allgemeines Datenschutzrecht 


Neben dem Verzicht auf eine personenbezogene Erhebung findet das 
Recht auf Anonymität vor allem über die Löschung des Personenbezuges 
der erhobenen bzw. gespeicherten Daten seine Durchsetzung. Die Lö- 
schungspflicht beschränkt mit anderen Worten die Verarbeitung personen- 
bezogener Daten zeitlich und verhilft dem Recht auf Anonymität auf diese 
Weise auch in den Fällen zur Anerkennung, in denen eine personenbezo- 
gene Erhebung und Speicherung erforderlich war, der Personenbezug aber 
nicht dauerhaft aufrechterhalten werden muss. 


Allerdings sind die Löschungspflichten im Datenschutzrecht mit einem 
unterschiedlichen Präzisionsgrad geregelt. Nach dem allgemeinen Daten- 
schutzrecht für die Wirtschaft wird die Grenze einer zulässigen Datenver- 
arbeitung durch das Prinzip der Erforderlichkeit bestimmt. So sind perso- 
nenbezogene Daten, die für eigene Zwecke verarbeitet worden sind ($ 28 
BDSG), zu löschen, „sobald ihre Kenntnis für die Erfüllung des Zweckes 
der Speicherung nicht mehr erforderlich ist“ ($ 35 Abs. 2 Satz 2 Nr. 3 
BDSG). Die Regelung erfordert eine Auslegung und Anwendung im Ein- 
zelfall, die sich an dem Zweck bspw. des zwischen der für die Datenver- 
arbeitung verantwortlichen Stelle und dem Betroffenen geschlossenen 
Vertrages orientieren muss. Für die personenbezogenen Daten, die für 
Zwecke der Übermittlung verarbeitet werden ($ 35 Abs. 2 Satz 2 Nr. 4 
i.V.m. $ 29 BDSG) legt das Gesetz Prüffristen fest, vor deren Ablauf die 
Erforderlichkeit der weiteren Datenspeicherung zu prüfen und zu doku- 
mentieren ist. Solange diese Daten nicht gelöscht sind, können sie bspw. 
im Rahmen einer Beschlagnahme des Datenträgers nach §§ 94, 98 StPO für 
Zwecke einer Straftatverfolgung zugänglich gemacht werden. Ferner kön- 
nen die Mitarbeiter der für die Datenverarbeitung verantwortlichen Stelle 
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als Zeuge zur Auskunft über bestimmte Datenbestände einvernommen 
werden. Gegenüber diesen Maßnahmen schützt letztlich nur eine Anony- 
misierung des Datensatzes wirksam. 


Bestandsdaten nach TK- und Onlinerecht 


Im Unterschied zum allgemeinen Datenschutzrecht sind die Regelungen 
über die Löschungspflichten der personenbezogenen Daten, die von TK- 
und Online-Anbietern erhoben und verarbeitet werden, erheblich restrikti- 
ver gefasst. Für so genannte Bestandsdaten, das sind die personenbezoge- 
nen Daten, die vom Dienstanbieter erhoben werden, um ein Vertragsver- 
hältnis über TK-Dienste zu begründen oder zu ändern ($ 2 Nr. 3 TDSV), 
gilt neben einer Begrenzung auf das zur Erfüllung des Vertrages Erforderli- 
che ($ 5 Abs. 1 TDSV) die Verpflichtung, diese Daten „mit Ablauf des auf 
die Beendigung folgenden Kalenderjahres zu löschen“ ($ 5 Abs. 3 TDSV). 
Andererseits entsteht dieser Personenbezug auch nur, weil der TK-Dienst- 
anbieter im Zusammenhang mit dem Vertragsschluss bzw. seiner Ände- 
rung die Vorlage eines amtlichen Ausweises verlangen kann. In der Praxis 
ist diese Form der Identifizierung allerdings die Regel, weil die TK-Dienst- 
anbieter eine Bonitätsprüfung ihrer Kunden über die SCHUFA oder eigene 
Bonitätsstellen vornehmen!®. 


Die Identifizierung des einen Vertrag über eine TK-Dienstleistung ab- 
schließenden Kunden erfolgt allerdings nicht nur mit Rücksicht auf seine 
wirtschaftliche Bonität, sondern auch zur Unterstützung der Sicherheitsbe- 
hörden aufgrund staatlicher Rechtsvorschriften Mittlerweile gelten die 
Kundendateien der TK-Provider wegen der hohen sozialen Bedeutung 
einer telekommunikativen Erreichbarkeit als eine zuverlässige Datenquelle, 
um den Aufenthaltsort eines Bürgers zu ermitteln. In der Regel erweisen 
sich die Auskünfte der TK-Provider als zuverlässiger als die amtlichen Mel- 
deregister, weil Bürger nach einem Umzug in erster Linie auf die An- 
meldung eines TK-Anschlusses bedacht sind, wohingegen die amtliche 
Ummeldung eher als lästige Pflicht empfunden wird, die mit keinem Vor- 
teil verbunden ist. Nach zwei Bestimmungen haben die TK-Dienstanbieter 
Sicherheitsbehörden Auskunft aus den Vertragsdaten ihrer Kunden zu 
erteilen: 


e Nach $ 89 Abs. 6 TKG haben die TK-Dienstanbieter den Polizeibehör- 
den, den Staatsanwaltschaften, dem Zollkriminalamt sowie den Nach- 
richtendiensten des Bundes und der Länder im Einzelfall auf deren 
Ersuchen Auskunft über die Bestandsdaten eines Kunden zu erteilen. 


e Nach $90 Abs. 1 TKG sind die TK-Dienstanbieter verpflichtet, Kun- 
dendateien mit Rufnummern und Kunden (Name und Anschrift)zu 
führen, die von der Regulierungsbehörde für Telekommunikation und 
Post im automatisierten Verfahren abgerufen und den um eine Aus- 
kunft ersuchenden Sicherheitsbehörden mitgeteilt werden. 


18 Vgl. 18. TB des BfD 1999/2000, S. 95 f. 
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Mit Hilfe dieser Auskunftsmöglichkeit können die Sicherheitsbehörden 
Name und Anschrift eines Anschlussinhabers erfahren, von dem sie nur die 
Anschlussnummer ermitteln konnten. Ferner können auf diese Weise die 
Anschlüsse eines namentlich bekannten Anschlussinhabers in Erfahrung 
gebracht werden. Im Wege der Einzelauskunft nach § 89 Abs. 6 TKG kön- 
nen darüber hinaus auch Kontoverbindungen einer Zielperson ermittelt 
werden. Insbesondere Name und Anschrift einer Zielperson sind erforder- 
lich, um die Anordnung einer TK-Überwachung gegen einen Beschuldig- 
ten im Strafverfahren nach § 100 b Abs. 1 StPO bzw. einen Verdächtigen 
nach § 10 Abs. 3 G-10-Gesetz veranlassen zu können. Entsprechendes gilt 
für die Anordnung der Herausgabe von Verbindungsdaten (s.u. zu § 100 g, 
h StPO). 


Mit der Legalisierung des IMSI-Catchers hat der Gesetzgeber auch den 
Einsatz eines Gerätes ermöglicht, das zur Identifizierung unbekannter mo- 
biler Geräte- und Kartennummern sowie zur Ermittlung des Standortes 
eines aktiv geschalteten Mobilfunkendgerätes eingesetzt werden kann. 
Rechtsgrundlage des Gerätes ist für Zwecke der Straftatverfolgung seit 
einer Gesetzesänderung vom 17. Mai 2002 § 100 i StPO. Seit dem Terroris- 
musbekämpfungsgesetzes vom 9. Januar 2002 darf auch das Bundesamt 
für Verfassungsschutz nach $ 9 Abs. 4 BVerfSchG dieses Gerät einsetzen. 


Dass die Kundendaten der TK-Dienstleister nicht nur für die engeren Auf- 
gaben der Sicherheitsbehörden von Bedeutung sein können, belegt die 
Auskunftsverpflichtung der Dienstanbieter gegenüber den Handwerks- 
kammern nach $ 17 Abs. 4 HandwO. Danach müssen die Dienstanbieter 
den Handwerkskammern auf deren Ersuchen Name und Anschrift von 
Anschlussinhabern mitteilen, die ohne Angabe von Name und Anschrift 
unter einem TK-Anschluss entgegen den Bestimmungen der Handwerks- 
ordnung Handwerksleistungen anzubieten scheinen. 


Die überragende Bedeutung der sicherheitspolitischen Interessen an den 
Kundendaten wird am Beispiel der Verpflichtung der TK-Dienstanbieter 
besonders deutlich, die Kunden von Prepaid-Karten für den Mobilfunk 
anhand eines amtlichen Ausweises zu identifizieren. Ein wirtschaftliches 
Interesse der Dienstanbieter besteht in diesen Fällen nicht, weil die Kun- 
den die TK-Dienstleistungen mit dem Erwerb der Karte bereits vorab be- 
zahlen. Um die Möglichkeiten anonymer TK-Verbindungen zumindest 
einzuschränken, verlangt die Regulierungsbehörde im Weg einer Anord- 
nung nach § 91 Abs. 1 TKG von den betreffenden Dienstanbietern, die 
Käufer eines entsprechenden Prepaid-Produktes zu identifizieren. Das 
OVG Nordrhein-Westfalen hat diese Verfügung mittlerweile in einer um- 
strittenen Entscheidung vom 17. Mai 2002 !?gegen eine anders lautende 
Entscheidung des VG Köln bestätigt". 


19 DuD 2002, 562 ff. 
20 DuD 2001, 42. 
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Eine vergleichbare Identifizierungsmöglichkeiten der Kunden von Te- 
le- bzw. Mediendiensten fehlt für Vertragsverhältnisse über Tele- bzw. 
Mediendienste, da diese nach § 4 Abs. 6 TDDSG, § 18 Abs. 6 MDStV grund- 
sätzlich anonym bzw. pseudomym anzubieten sind und in der Regel auch 
kostenlos angeboten werden. 


Verbindungsdaten nach TK-Datenschutzrecht 


Durch detaillierte Regelungen präzisiert das TK- und Onlinedatenschutz- 
recht den Grundsatz der Erforderlichkeit vor allem für die Speicherung von 
Verbindungsdaten für TK-Dienstanbieter sowie von Nutzungsdaten für 
Tele- und Mediendienste. Bei den Verbindungsdaten handelt es sich um 
die besonders wichtige Gruppe personenbezogener Daten, „die bei der 
Bereitstellung und Erbringung von Telekommunikationsdiensten erhoben 
werden“ (§2 Nr. 4 TDSV) und Auskunft über die „näheren Umstände“ 
einer TK-Verbindung geben, die auch unter dem Schutz des Fernmeldege- 
heimnisses nach Art. 10 GG stehen (§ 85 Abs. 1 TKG; BVerfGE 386, 396). 
Ihnen ist zu entnehmen, wer wann mit wem von welchem Anschluss (o- 
der Ort) eine TK-Verbindung aufgenommen oder aufzunehmen versucht 
hat. Die Verbindungsdaten zeichnen sich durch eine besondere Auskunfts- 
tiefe aus. Sie umfassen nach § 6 Abs. 1 TDSV 


e die Nummer oder Kennung des anrufenden und des angerufenen 
Anschlusses, personenbezogene Berechtigungskennungen, bei Ver- 
wendung von Kundenkarten auch die Kartennummer, bei mobilen 
Anschlüssen auch die Standortkennung; 


e Beginn und Ende der jeweiligen Verbindung nach Datum und Uhrzeit 
und, soweit die Entgelte davon abhängen, die übermittelten Daten- 
mengen; 


e den vom Kunden in Anspruch genommenen Telekommunikations- 
dienst; 


e die Endpunkte von festgeschalteten Verbindungen sowie ihren Beginn 
und ihr Ende nach Datum und Uhrzeit; 


e sonstige zum Aufbau und zur Aufrechterhaltung sowie zur Entgeltab- 
rechnung notwendige Verbindungsdaten. 


Diese Verbindungsdaten darf der TK-Dienstanbieter nur verarbeiten oder 
nutzen, soweit sie für den Aufbau weiterer Verbindungen, insbesondere 
aber für Zwecke der Abrechnung gegenüber dem Kunden erforderlich 
sind. Im Übrigen hat der Dienstanbieter die Verbindungsdaten „spätestens 
am Tag der Beendigung der Verbindung zu löschen“ (§ 6 Abs. 2 Satz 2 
TDSV). Werden die Verbindungsdaten für Abrechnungszwecke benötigt, 
sind die für die Berechnung des Entgeltes erforderlichen Daten unverzüg- 
lich nach Beendigung der Verbindung zu ermitteln und die nicht erforder- 
lichen Daten sind unverzüglich zu löschen ($ 7 Abs. 3 Satz 1, 2 TDSV). 


Für die Aufbewahrung der für die Abrechnung erforderlichen Verbin- 
dungsdaten sieht das TK-Datenschutzrecht eine sog. Höchstspeicherfrist 
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von sechs Monaten vor. Nach dieser Regelung dürfen diese Daten um die 
letzten drei Ziffern gekürzt „zu Beweiszwecken für die Richtigkeit der be- 
rechneten Entgelte“ höchstens sechs Monate gespeichert werden. Die Frist 
beginnt mit der Versendung der Rechnung. Allerdings kann der Kunde 
neben einer vollständigen Speicherung (Einzelverbindungsnachweis) auch 
verlangen, dass die Verbindungsdaten mit Versendung der Rechnung an 
ihn vollständig gelöscht werden ($ 7 Abs. 4 Satz 1 Nr. 1 TDSV). Weil in 
diesem Fall der Dienstanbieter keinen vollständigen Beweis für die Rich- 
tigkeit seiner Rechnung erbringen kann, trifft den Anbieter in diesem Fall 
keine Nachweispflicht für die Einzelverbindungen ($ 16 Abs. 2 Satz 2 
TKV). 


Auskunft über die Verbindungsdaten eines Anschlussinhabers können die 
Sicherheitsbehörden zum einen über die Anordnung einer Überwa- 
chungsmaßnahme nach $ 100 a StPO, § 39 AWG oder nach § 3 G-Gesetz 
erlangen, bei der Inhalt und Verbindungsdaten mit der Verbindung aufge- 
zeichnet werden. Die TK-Überwachung erfolgt in diesem Fall zeitgleich 
mit der Verbindung, so dass die Anordnung vor der Aufzeichnung ergan- 
gen sein muss. Von größerer Bedeutung ist demgegenüber die Möglichkeit 
der Sicherheitsbehörden, von den TK-Providern Auskunft über die von 
ihnen noch für Abrechnungszwecke gespeicherten Verbindungsdaten über 
in der Vergangenheit durchgeführte TK-Verbindungen eines Anschlussin- 
habers zu bekommen. Rechtsgrundlage sind für Zwecke der Straftatverfol- 
gung die $ 12 FAG ersetzenden Regelungen der §§ 100 g, h StPO2!. Die 
Regelung ermöglicht nunmehr auch die Anordnung einer Auskunft „zu- 
künftiger“ TK-Verbindungen ($ 100 g Abs. 1 Satz 2 StPO). Eine dieser Re- 
gelung entsprechende Befugnisse sind den Nachrichtendiensten durch das 
Terrorismusbekämpfungsgesetz (vom 9. Januar 2002, BGBl. I S. 361) ein- 
geräumt worden (§ 8 Abs. 8 BVerfSchG, $10 Abs. 3 MAD-Gesetz, § 8 
Abs. 3 a BND-Gesetz). 


Nachdem die Höchstspeicherfrist mit Einführung der TDSV erst im Jahr 
2000 auf Betreiben der Sicherheitsbehörden von 80 Tagen auf sechs Mo- 
nate erhöht worden war, ist mittlerweile eine Umgestaltung der Höchst- 
speicherfrist in eine Mindestspeicherpflicht bzw. eine Verpflichtung zur 
Vorratsspeicherung in der Diskussion. Erste Vorschläge von der CDU/CSU- 
Opposition im Deutschen Bundestag?? wurden im Bundesrat aufgegrif- 
fen23. Die rechts- und innenpolitische Brisanz dieser Vorschläge wird 
durch einen diesem Vorhaben widersprechenden Beschluss des Bundes- 
vorstandes der CDU vom 3. Juni 2002 deutlich, in dem die generelle Ver- 
pflichtung von Providern zur Einhaltung von Mindestspeicherpflichten „aus 
rechtsstaatlichen wie auch wirtschaftlichen Gründen“ für nicht tragbar 
erklärt wurde. Zumindest grundsätzlich haben sich am Ende der 14. Legis- 


21 Gesetz vom 20. Dezember 2001, BGBl. I S. 3879. 
22 BT-Drs. 14/6834, S. 7, 14. 
23 BR-Drs. 1014/01, 275/02. 
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laturperiode auch die Regierungskoalitionen gegen eine Regelung einer 
Mindestspeicherpflicht ausgesprochen“. 


Nutzungsdaten 


Den Nutzungsdaten nach TK-Datenschutzrecht vergleichbare Regelungen 
sieht das Onlinerecht für die Speicherung der personenbezogenen Daten 
über die Nutzung von Telediensten im Teledienstedatenschutzgesetz 
(TDDSG) sowie dem Mediendienstestaatsvertrag (MDStV) vor. Diese Nut- 
zungsdaten umfassen nach $ 6 Abs. 1 Satz 2 TDDSG die 


e Merkmale zur Identifizierung des Nutzers, 


e Angaben über Beginn und Ende sowie über den Umfang der jeweili- 
gen Nutzung und 


e Angaben über die vom Nutzer in Anspruch genommenen Telediens- 
ten. 


Diese Daten über die Nutzung von Telediensten hat der Dienstanbieter zu 
löschen, soweit sie nicht erforderlich sind, um die Inanspruchnahme von 
Telediensten zu ermöglichen und abzurechnen?? ($ 6 Abs. 1 Satz 1 TDDSG 
i.V.m. § 36 Abs. 2 Nr. 3 BDSG). Darüber hinaus hat der Dienstanbieter 
durch technische und organisatorische Vorkehrungen sicherzustellen, dass 
die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs 
oder der sonstigen Nutzung „unmittelbar nach deren Beendigung gelöscht 
oder gesperrt werden können“ ($ 4 Abs. 4 Satz 1 Nr. 2 TDDSG). Werden 
die Nutzungsdaten für Abrechnungszwecke benötigt, dann dürfen sie im 
hierfür erforderlichen Umfang verarbeitet und genutzt werden ($ 6 Abs. 4 
Satz 1 TDDSG). Allerdings darf die Abrechnung nach § 6 Abs. 6 TDDSG 
„Anbieter, Zeitpunkt, Dauer, Art, Inhalt und Häufigkeit“ bestimmter in 
Anspruch genommenen Teledienste nicht erkennen lassen, so dass auch 
diese Angaben unmittelbar nach der Nutzung des jeweiligen Dienstes zu 
löschen sind ($ 35 Abs. 2 Satz 2 Nr. 2 BDSG). Nach Bezahlung der Rech- 
nung ist auch die Speicherung der Entgelthöhe des Nutzers nicht mehr 
erforderlich und zu löschen bzw. zu sperren. Nur soweit der Nutzer einen 
Einzelnachweis verlangt, dürfen die für die Abrechnung erforderlichen 
Nutzungsdaten personenbezogen gespeichert werden. Insoweit gilt ebenso 
wie im TK-Datenschutzrecht eine Höchstspeicherfrist von sechs Monaten 
nach Rechnungsversand ($ 6 Abs. 7 Satz 1 TDDSG). Eine längere Speiche- 
rung ist nur im Fall von Einwendungen zulässig bis diese Einwendungen 
geklärt sind ($ 6 Abs. 7 Satz 2 TDDSG). Entsprechende Regelungen gelten 
nach dem MDStV. 


Gesonderte Auskunftsrechte über Nutzungsdaten für Zwecke der Straftat- 
verfolgung sind in das deutsche Recht noch nicht eingeführt worden. Le- 
diglich die Nachrichtendienste verfügen über eine Rechtsgrundlage, um 


24 BT-Drs. 14/9709, Zi ff. 17. 
25 Vgl. dazu im Einzelnen den Beitrag von Golembiewski, S. 107 ff. 
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Auskunft Daten über die Nutzung von Telediensten von den Dienstanbie- 
tern sowohl aus der Vergangenheit als auch für die Zukunft verlangen zu 
können ($ 8 Abs. 8 BVerfSchG, $ 10 Abs. 3 MAD-Gesetz, $ 8 Abs. 3 a BND- 
Gesetz). Das Fehlen bereichsspezifischer Regelung schließt allerdings nicht 
aus, dass insbesondere die Staatsanwaltschaften über die Anordnung einer 
Beschlagnahme bzw. der Einvernahme von Zeugen Auskunft über gespei- 
cherte Nutzungsdaten verlangen kann, zumal die Nutzungsdaten im Unter- 
schied zu den Verbindungsdaten nicht unter das aus einfachgesetzliche 
Zitiergebot für Eingriffe in das Fernmeldegeheimnis unterliegen ($ 85 Abs. 
1 i.V.m. Abs. 3 TKG). 


4 Fazit: Recht auf Pseudonymisierung 


Die Skizze belegt die geradezu systemische Eingrenzung des Rechts auf 
Anonymität durch zahlreiche Identifizierungspflichten: Gegenüber den 
Behörden besteht nach den gesetzlichen Bestimmungen ohnehin eine 
Identifizierungspflicht, so dass in diesem Bereich ein anonymes Handeln 
innerhalb eines Verwaltungsverfahrens in der Regel ausscheidet2°. Im 
rechtsgeschäftlichen Bereich bestehen Handlungsräume für ein anonymes 
Handeln in der Regel nur auf Seiten der Kunden bzw. Verbraucher, die 
allerdings wiederum durch privatautonomes Recht durch die Anbieter und 
Unternehmer eingeschränkt werden können. Im Regelfall kann anonym 
vor allem beim Abschluss der Geschäfte des täglichen Lebens gehandelt 
werden, wenn unmittelbar Ware gegen Geld getauscht wird. 


Soweit Sicherheitsinteressen des Anbieters bzw. Unternehmers befriedigt 
werden müssen, erfolgt eine zuverlässige Identifizierung des Kunden über 
die von den Bankinstituten ausgegeben Zahlungskarten bzw. das dahinter 
stehende Konto. Dieser Identifizierungspfad ist zuverlässig, weil die Insti- 
tute durch staatliches Recht verpflichtet sind, die Inhaber eines Kontos 
ebenso wie im Fall einer dauerhaften Kundenbeziehung zuverlässig an- 
hand amtlicher Legitimationspapiere zu identifizieren und anonyme Kon- 
ten nach deutschem Recht unzulässig sind. 


Anonymität wird schließlich dadurch eingeschränkt, dass die Löschungs- 
pflichten und damit die Verpflichtung, Personenbezüge zu vergessen, 
rechtlich nicht konsequent durchformuliert sind. Im allgemeinen Daten- 
schutzrecht fehlen bspw. Höchstspeicher- und Prüffristen. Im besonderen 
Datenschutzrecht der TK- und Onlinedienste sind die Löschungspflichten 
für die Dienstanbieter zwar präziser und restriktiver geregelt, gleichzeitig 
hat der Gesetzgeber den Dienstanbietern eine Reihe von Pflichten aufer- 
legt, ihnen unter näher bestimmten Voraussetzungen über Kundendaten 
einschließlich der Verbindungs- und Nutzungsdaten in der Regel ohne 
Kenntnis der Betroffenen Auskunft zu erteilen. 


26 Vgl. dazu den Beitrag von Gundermann, S. 117 ff. 
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Anonymes Handeln ist demnach allenfalls in Teilbereichen der rechtlichen 
und sozialen Kommunikation möglich. Dies gilt insbesondere für die Inan- 
spruchnahme von Tele- und Mediendiensten, für die das TDG und der 
MDStV eine entsprechende Rechtspflicht vorsieht. Diese Möglichkeiten 
werden allerdings dadurch eingeschränkt, dass diese Dienste auf einem 
Überwachungsrecht unterliegenden TK-Dienst beruhen und zum anderen 
für die staatlichen Sicherheitsbehörden auf Grund einzelner Regelungen 
auch nicht unzugänglich sind. 


Andererseits schließt das staatliche Interesse an einer Identifizierung der 
Bürger im rechtsgeschäftlichen Bereich sowie zu sozialen Zwecken eine 
anonyme Kommunikation der Bürger untereinander nicht aus. Die Skizze 
rechtlicher Identifizierungspflichten sowie die bisherigen Erfahrungen im 
E-Commerce sprechen allerdings dafür, das Schwergewicht zukünftiger 
Überlegungen nicht auf das Recht auf Anonymität, sondern auf die Ent- 
wicklung eines Rechts der Pseudonymisierung und deren Implementierung 
zu konzentrieren. Ein solches Recht garantiert auf der einen Seite, dass die 
Bürger untereinander erkennbar unter einem angenommenen Namen so- 
zial und rechtsgeschäftlich interagieren und erfordert auf der anderen Seite 
ein nach Anlass und Voraussetzungen differenzierendes Recht, das den Si- 
cherheitsbehörden sowie den Vertragspartnern oder geschädigten Dritten 
einen Zugriff auf die jeweilige Zuordnungsregel ermöglicht, aus der sich 
der Zusammenhang von Pseudonym und Name ergibt. Ein solches Kon- 
zept wäre im Übrigen auch mit den datenschutzrechtlichen Anforderungen 
an die staatliche Datenverarbeitung kompatibel wie bspw. der Grundsatz 
der informationellen Gewaltenteilung zeigt. 


Erste Ansätze für ein solches Konzept der Pseudonymisierung bestehen 
bereits heute in der Rechtsordnung: So lässt das Ausweisrecht ausdrücklich 
zu, dass der amtliche Ausweis zusätzlich zu dem Namen der Person auch 
einen Ordens- oder Künstlername trägt. Die bereits erwähnten Regelungen 
der datenvermeidenden und datensparsamen Technikauswahl und -ges- 
taltung in $3 a BDSG zielen neben der Anonymisierung auch auf eine 
Förderung der Pseudonymisierung?’. Nach $ 4 Abs. 6 TDDSG sollen die 
Dienstanbieter anonymes oder pseudonymes Handeln ausdrücklich er- 
möglichen. Umgekehrt werden bestimmte Verarbeitungsformen wie die 
Anfertigung von Nutzungsprofilen für Zwecke der Werbung und Marktfor- 
schung unter Pseudonym unter der Voraussetzung ermöglicht ($ 6 Abs. 3 
TDDSG), dass das Pseudonym nicht mit dem Namensträger zusammenge- 
führt wird ($ 6 Abs. 3 Satz 2, $ 4 Abs. 4 Nr. 6, $ 9 Abs. 1 Nr. 5 TDDSG. Die 
weiteren Überlegungen sind auf die Regelungen zum Schutz des Pseudo- 
nyms und auf eine Systematisierung der berechtigten Gründe, unter denen 
en Pseudonym aufzudecken ist, zu richten. 


27 Bizer in Simitis, BDSG, 5. Aufl. 2003, $ 3a, Rdn. 68 ff. 


Anonymität und Pseudonymität als Voraussetzung für den 
medizinischen Fortschritt 


Dr. Thilo Weichert 


1 Einleitung 


Der Mensch kann sich heute nicht mehr in der „Anonymität“ der Masse 
verstecken. Elektronische individuelle Datenspuren gewinnen in unserer 
Informationsgesellschaft oft erst dadurch ihre persönlichkeitsrechtliche 
Brisanz und ihr Diskriminierungspotenzial, dass sie mit denen einer gro- 
ßen, evtl. gar repräsentativen Menge anderer Datensätze verglichen wer- 
den. In der Masse werden die Angaben über den Einzelnen zum „wert- 
vollen“ Maßstab für die Bewertung des Konsumpotenzials, der Bonität, 
aber auch der Arbeitskraft, der politischen Einstellung ... für die Bewertung 
der „Wertigkeit“ der einzelnen Menschen. Die adäquate Antwort auf dieses 
Phänomen der informatisierten Massengesellschaft ist das Recht auf Ano- 
nymität.! 


Wie aber steht es mit dem Menschen als Konsumenten von Gesundheits- 
dienstleistungen? Gibt es auch ein Recht auf Anonymität im Gesundheits- 
wesen? Das Gesundheitswesen unterscheidet sich nicht generell von sons- 
tigen Wirtschaftsbereichen, die auch einer gewaltigen technischen Infor- 
matisierung ausgesetzt sind. Doch kulminieren dort in besonderem Maße 
die persönlichkeitsrechtlichen Risiken einerseits und stehen auf der ande- 
ren Seite der Verwirklichung der Anonymität die größten Hindernisse ent- 
gegen. Mit der Anonymisierung von medizinischen Daten werden diese für 
die individuelle Behandlung absolut unbrauchbar; weil es, z.B. bei einer 
Notfallbehandlung, gerade auf u.U. kleine medizinische individuelle De- 
tails ankommt. Der Gesundheitsbereich ist damit der geradezu klassische 
Testfall eines informationsrechtlichen Anspruchs auf Anonymität. 


Das Gesundheitswesen beruht traditionell auf dem absoluten Vorrang der 
Individualität und der Höchstpersönlichkeit der Dienstleistungen. Schon 
vor über 2000 Jahren stellte Hippokrates in seiner standesrechtlichen 
Grundregel (hippokratischer Eid) die individuelle, ausschließlich auf den 
Einzelnen ausgerichtete Behandlung in der Vordergrund. Konsequent for- 
derte er auch den praktisch uneingeschränkten informationellen Schutz der 
Individualität vor dem Zugriff durch die Gemeinschaft in Form des Pati- 
entengeheimnisses.® 


1 Weichert DatenschutzNachrichten (DANA) 2/2001, 12; zur Anonymität im Internet und bei 
der Telekommunikation vgl. Sokol (Hrsg.), Datenschutz und Anonymität, 2000; zur normati- 
ven Einordnung von Anonymität und Pseudonymität Roßnagel/Scholz MMR 2000, 721 ff. 


2 Laufs/Uhlenbruck, Handbuch des Arztrechts, 2. Aufl. 1999, § 4 Rdn. 13-15, § 69 Rdn. 1-8. 
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In der letzten Zeit sind diesem Vorrang des Individuums bei der ärztlichen 
Diagnose und Therapie durch die Automatisierung des Gesundheitswesens, 
zunächst insbesondere im Abrechnungsbereich, dann aber verstärkt auch 
in der Patientenverwaltung, bei der Behandlung, im Rahmen der Behand- 
lungsdokumentation und jüngst durch die Biotechnologie völlig neue Her- 
ausforderungen an den Schutz des Persönlichkeitsrechts in der Medizin 
erwachsen, die mit zwei neuen Phänomen beschrieben werden können: 


Die Krankheit ist nicht mehr der alleinige Gegenstand des Gesundheitswe- 
sens, es geht um verschiedene spezifische Umstände körperlicher und 
seelischer Gesundheit. Das mehr oder weniger bestehende körperliche 
und seelische Wohlbefinden - neudeutsch Wellness - ist zum Gegenstand 
des Gesundheitswesens geworden. 


Die individuelle Behandlung ist nur noch ein kleiner Ausschnitt des immer 
gewaltiger werdenden Wirtschaftssektors „Gesundheitswesen“. Arzneimittel- 
und Medizinprodukteherstellung und -vertrieb, medizinische Wissenschaft 
und Forschung, gesundheitsfördernde Massenangebote als Waren und 
Dienstleistungen gehören inzwischen zu diesem Bereich. Ähnlich wie in 
anderen Sektoren - z.B. bei E-Commerce-Angeboten - erweist sich die 
Wahrung der Anonymität als ein zentrales Akzeptanzkriterium für die An- 
nahme der neuen Marktsegmente. Im Folgenden sollen die rechtlichen 
und praktischen Voraussetzungen für eine Weiterentwicklung des techni- 
schen Fortschritts im Gesundheitsbereich unter Wahrung der grundlegen- 
den Funktionsbedingungen einer Vertrauensmedizin dargestellt werden. 


Der erweiterte Persönlichkeitsbegriff 


„Wellness“ beginnt nicht mit der Geburt, sondern schon früher mit der 
Befruchtung der Eizelle als dem Ursprung persönlicher Individualität. Sie 
endet auch nicht mehr mit dem Tod. Somatische, psychische und geneti- 
sche „Gesundheit“ sind Objekte der Gesundheitswirtschaft und Gesund- 
heitswissenschaft auch nach dem Tod, etwa bei der Vererbung von Anla- 
gen oder bei der Transplantation von Organen. Dieser Fortwirkung des 
Persönlichkeitsrechtes hat das Standesrecht schon früh, wenn auch mit 
einer anderen als einer modernen Begründung, Rechnung getragen, indem 
es das Patientengeheimnis über den Tod hinaus für gültig erklärt. Es wird 
nicht mit dem Tod obsolet, sondern verflüchtigt sich nur langsam. 


Völlig neue, bisher nicht bekannte Fragestellungen entstanden mit dem 
Fortschritt der Biomedizin, auch hinsichtlich der vorgeburtlichen Zeit. Mit 
der Entschlüsselung des menschlichen Genoms hat sich u.a. die Unmög- 
lichkeit der sicheren Anonymisierung menschlichen Gewebes ergeben und 
zugleich die Möglichkeit, diesem individualisierbaren Genom durch Ana- 
lyse biologische Eigenschaften zuzuweisen. Mit der Befruchtung manifes- 
tiert sich zumindest biotechnologisch die Individualität. 


Dies wäre nicht weiter problematisch, wenn mit der pränatalen Identität 
keine gesellschaftlichen Interessen verknüpft wären. Dies ist aber der Fall: 
Biologische und soziale Eltern sind daran ebenso interessiert wie das staat- 
liche Gesundheitswesen, die biotechnologische, d.h. v.a. die medizinische 
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und pharmazeutische Forschung und im weitesten Sinne generell die Wirt- 
schaft, z.B. die Versicherungswirtschaft.? Während bzgl. der Kenntnis der 
Eltern über die vorgeburtlichen Verhältnisse keine spezifischen Daten- 
schutzprobleme entstehen und hier die klassischen ethischen, sozialen und 
psychologischen Probleme nunmehr um eine gentechnische Komponente 
ergänzt werden, ist dies anders bzgl. der außerfamiliären Welt: Hier stellt 
sich die Frage nach Freiheit, Persönlichkeit und Schutz durch Anonymität 
in massiv verstärkter Form als etwa bei Erwachsenen, da prä- und postna- 
tal die wesentlichsten Festlegungen im Hinblick auf die Individualität er- 
folgen, ohne dass die „Betroffenen“ irgend ein Selbstbestimmungsrecht 
hätten. Ja die Fremdbestimmung kann bis zur Vernichtung, sei es durch 
„Verwerfung“ oder Abtreibung, gehen. Der Fötus und später das Kind 
obliegen völlig der Obhut der Eltern bzw. der Gesellschaft. 


In diesem Zusammenhang ist auf eine verwandte Konfliktlage zwischen 
Anonymität und Identität hinzuweisen, die derzeit unter dem Stichwort 
„anonyme Geburt“ politisch kontrovers diskutiert wird: so wichtig die A- 
nonymität für die Wahrung des Persönlichkeitsrechtes außerhalb der per- 
sönlichen familiären Beziehungen ist, so wichtig ist für genau dieses Per- 
sönlichkeitsrecht die Sicherung der Individualität in Bezug auf die eigene 
Person und das direkte soziale Umfeld. Die anonyme Geburt hat nichts mit 
dem persönlichkeitsrechtlichen Anspruch auf Anonymität zu tun, sondern 
ist geradezu dessen Gegenteil: die Verweigerung eines Teils der Individua- 
lität. Das Recht auf Kenntnis der Abstammung wurde vom Bundesver- 
fassungsgericht mit und aus guten Gründen jedem Menschen zugestanden 
als eine Konkretisierung des allgemeinen Persönlichkeitsrechtes und als 
eine Präzisierung des vom Recht auf informationelle Selbstbestimmung 
abgeleiteten Rechts auf Wissen über sich selbst.* Das Konzept der anony- 
men Geburt zielt nur indirekt auf einen Schutz des Fötus. Direkt und vor- 
rangig schützt es die Mutter. Wegen der damit verbundenen Beein- 
trächtigungen des Persönlichkeitsrechtes des Kindes ist die Sinnhaftigkeit 
einer solchen Institution äußerst fraglich. Mit Blick auf die weniger indust- 
rialisierten Länder fordert das UN-Kinderhilfswerk UNICEF ausdrücklich für 
alle Neugeborenen ein Recht auf Registrierung. Diese Aussagen lassen 
sich übertragen auf das Phänomen der anonymen Samenspende, bei der 
die Legitimation der Verweigerung des Rechts auf Wissen noch brüchiger 
ist als bei der anonymen Geburt.” 


Das Selbstbestimmungskonzept im Medizinbereich unterscheidet sich von 
sonstigen gesellschaftlichen Sektoren auch durch das Recht auf Nichtwis- 
sen. Die Kenntnis z.B. einer unheilbaren Krankheit oder einer nicht ver- 
hinderbaren negativ erlebten genetischen Disposition beeinträchtigt u.U. 


3 Weichert DuD 2002, 133 ff. 
4 BVerfGE 79, 268 ff = NJW 1989, 336; BVerfGE 90, 271 


> Vgl. DANA 4/2000, 35 f.; Renesse in Der Spiegel 20/2002, 180; Entwurf eines Gesetzes zur 
Regelung der anonymen Geburt, interfraktioneller Antrag v. 23.04.2002 BT-Drs. 14/8856; 
Antrag v. 06.06.2002 Baden-Württemberg BR-Drs. 506/02. 

6 Süddeutsche Zeitung (SZ) 04.06.2002, 12. 


7 Hoppe Der Spiegel 31/2002, 86 ff; Lakotta/Katzorke Der Spiegel 26/2002 Irrläufer aus der 
Pipette. 
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u.U. die Gesundheit des Betroffenen. Zur Selbstbestimmung gehört daher 
auch die Befugnis auf Nichtkenntnis persönlicher Daten. Dieses Konzept 
des Nichtwissens ist insofern noch radikaler als das Recht auf Anonymität, 
als es sich auf die eigene Person bezieht. Man könnte diese Befugnis auch 
als ein Recht auf Anonymität von Persönlichkeitsbestandteilen gegenüber 
sich selbst bezeichnen. Das Recht auf Nichtwissen macht nur Sinn, wenn 
auch Dritte vom Wissen ausgeschlossen sind, wenn bzgl. der medizini- 
schen Angaben, für die dieses Recht in Anspruch genommen wird, abso- 
lute Anonymität gewährleistet werden kann.® 


Der Konflikt zwischen Selbst- und Fremdbestimmung 


Doch zurück zu den klassischen Fragen des Privatheitsschutzes im Ge- 
sundheitswesen: Auch hier ist Anonymität in Bezug auf die individuelle 
Behandlung Gift für den Betroffenen. Die Idee der ärztlichen Schweige- 
pflicht basiert auf der Erkenntnis, dass im Krankheitsfall die sonstigen so- 
zialen Sicherungssysteme zum Schutz der Privatheit nicht wirksam sein 
können, weil man sich dem Arzt als einer zunächst fremden Person anver- 
trauen muss. Um eine dem Familien- und Freundeskreis ähnliche Vertraut- 
heit herzustellen, wird dem Patienten das pauschale Versprechen der Ver- 
traulichkeit gegeben. Nur in dieser geschützten Sphäre kann sich der 
Mensch mit seiner ganzen seelischen und körperlichen Identität öffnen, 
ohne sich all zu sehr in die Gefahr der Fremdbestimmung zu begeben. 
„Anonymität verträgt sich nicht mit dem Wesen des Arzt-Patienten-Verhält- 
nisses“.? 


Doch müssen wir realistisch sein: In unserem hoch technisierten, stark 
arbeitsteiligen Gesundbheitssystem ist diese Vertraulichkeitszusage schon 
sehr brüchig geworden. Zu viele Akteure sind rund um das Behandlungs- 
geschehen mit personenbezogenen Daten eines Patienten befasst: private 
und gesetzliche Krankenversicherungen, der Medizinische Dienst, die Kas- 
senärztliche Vereinigung, Apotheken, Pflegedienste, Anbieter von Heil- 
und Hilfsmitteln und von therapeutischen Leistungen. Hinzu kommen 
staatliche Einrichtungen (Gesundheits-, Sozial-, Versorgungsämter) sowie 
private Hilfsdienste (private Verrechnungsstellen, Labors, Schreibdienste, 
EDV-Wartung, Mikroverfilmung). Die Brüchigkeit der Vertraulichkeitszu- 
sage besteht insbesondere in den großen Gesundheitsinfrastrukturen z.B. 
von Universitätskliniken oder Krankenversicherungen. Und dies gilt insbe- 
sondere für den Einsatz von vernetzter Informationstechnik im Gesund- 
heitswesen, für die Zweck, Kontext, Zeit, Ort und Menge der Daten keine 
Beschränkungen mehr darstellen.!D Weder bei der arbeitsteiligen Diagnose 
und Behandlung, noch bei der Abrechnung, aber auch nicht bei den vie- 
len Nebenbereichen - z.B. der Organisation von Gesundheitseinrichtungen, 
der öffentlichen Gesundheitsverwaltung oder der medizinischen Forschung 


8 Weichert DuD 2002, 142. 
? Zitat OLG Düsseldorf NJW 1984, 670. 
10 Zu den Aspekten der digitalen Vernetzung Menzel/Schläger DuD 1999, 70 ff. 
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- begnügt man sich mit anonymisierten Patientendaten. In all diesen Berei- 
chen fallen personenbezogene bzw. -beziehbare Gesundheitsdaten an, 
werden diese abgeglichen oder sonst wie genutzt. 


Die einfachste und zugleich die schlechteste Lösung des Konfliktes zwi- 
schen Vertraulichkeit und modernen Anforderungen an das Gesundheits- 
system wäre es, den Schutz der Anonymität aufzugeben und das individu- 
ell-gläserne Gesundheitssystem zu schaffen. Damit wäre jenseits daten- 
schutzrechtlicher Fragen ein gewaltiger Qualitätsverlust verbunden, da der 
Umstand der Vertraulichkeit medizinischer Behandlung in vielen Fällen 
eine zwingende Voraussetzung für den Behandlungserfolg ist. Um diese 
Vertraulichkeit dennoch - zumindest ansatzweise - zu gewährleisten, be- 
steht bei der gesetzlichen Krankenversicherung (noch) ein (einigermaßen) 
austariertes System der Zugriffs- und Nutzungsmöglichkeiten bezüglich der 
personenbezogenen Krankheitsdaten. In allen anderen Sektoren des Ge- 
sundheitswesens dagegen befinden wir uns in einer regulativen Wüste. 
Normativ ist nicht viel mehr festgelegt als der Eid des Hippokrates, dessen 
Vertraulichkeitsversprechen inzwischen über $ 203 Strafgesetzbuch (StGB) 
strafrechtlich und über die ärztlichen Berufsordnungen standesrechtlich 
sanktioniert wurde. 


Schon 1972 hat das Bundesverfassungsgericht (BVerfG) aus dem allgemei- 
nen Persönlichkeitsrecht abgeleitet: „Wer sich in ärztliche Behandlung 
begibt, muss und darf erwarten, dass alles, was der Arzt im Rahmen seiner 
Berufsausübung erfährt, geheim bleibt und nicht zur Kenntnis Unbefugter 
gelangt. Nur so kann zwischen Arzt und Patient jenes Vertrauen entstehen, 
das zu den Grundvoraussetzungen ärztlichen Wirkens zählt“.!! Und in 
Weiterentwicklung dieser Rechtsprechung hat das BVerfG ein Recht auf 
Anonymität abgeleitet. Im Interesse des Schutzes des ungeborenen Lebens 
und einer selbstbestimmten Entscheidung über die Schwangerschaft hat 
eine schwangere Frau einen verfassungsrechtlich abgeleiteten Anspruch 
auf anonyme Beratung.!? Dabei stellte das Gericht klar, dass die Möglich- 
keit des Rückschlusses auf die Identität der Beratenen die Gefahr beinhal- 
tet, „das für die Beratung unerlässliche Vertrauensverhältnis der an ihr 
Beteiligten zu beeinträchtigen“.1? Die lebensschützende (therapeutische) 
Beratungssituation verlange einerseits Anonymität, andererseits „die umfas- 
sende medizinische, soziale und juristische Information der Schwangeren“. 
Damit bekräftigt das BVerfG den aufklärerischen Gedanken, dass für den 
Lebensschutz Anonymität und umfassende Informiertheit Grundbedingun- 
gen sind.!* Das Recht begründet also im Interesse des im Schwanger- 
schaftskonflikt besonders zugespitzten Gesundheitsschutzes die Pflicht zur 
Wahrung von Vertraulichkeit bezüglich des Individuums oder gar von 
dessen Anonymität. Den durch die EDV provozierten „wachsenden Be- 


11 BVerfGE 32, 379, 390. 
12 BVerfG NJW 1993, 1752. 
13 BVerfG NJW 1993, 1762. 


14 BVerfG NJW 1993, 1766, ebenso abweichendes Votum Mahrenholz/Sommer NJW 1993, 
1777. 
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gehrlichkeiten“ und der Gefahr der Aufweichung des Geheimschutzes 
durch gesellschaftliche Kontrolle des medizinischen Behandlungsverhält- 
nisses muss mit Sicherung der Anonymität wirksam entgegen getreten 
werden.!? 


Die rechtlichen Lösungsmöglichkeiten können hier nicht insgesamt darge- 
stellt werden. Diese müssen sich orientieren an den Grundsätzen der 
Zweckbestimmung und technischen Abschottung, am Grundsatz der frü- 
hestmöglichen Löschung und an dem Grundsatz der Verfahrenstransparenz 
und der Wahlfreiheit. 


Im Vordergrund soll hier die rechtliche und technische Sicherung der Ver- 
traulichkeit durch Anonymisierungs- und Pseudonymisierungsverfahren 
stehen. Mit „intelligenter“ Pseudonymisierung kann die Zusage der Ver- 
traulichkeit erfüllt und zugleich die Effektivität des Informationssystems 
erreicht werden. Bei einer effektiven Anonymität ist das Datenschutzrecht 
nicht mehr anwendbar: Anonymisierte Daten dürfen ungehindert verar- 
beitet werden. Doch eine absolute Anonymität ist oft nicht möglich. Oder 
sie würde das Erreichen der verfolgten Ziele vereiteln. Pionier für die Lö- 
sung dieses Problems ist eine unscheinbare Regelung im Landesdaten- 
schutzgesetz Schleswig-Holstein (LDSG SH): In $ 11 Abs. 6 LDSG SH wird 
generell die Verarbeitung pseudonymisierter Daten von solchen Stellen 
zugelassen, die keinen Zugriff auf die Zuordnungsfunktion haben, die 
selbst also eine Reidentifizierung nicht vornehmen können. Die Übermitt- 
lung pseudonymisierter Daten wird zugelassen, wenn die Zuordnungs- 
funktion im alleinigen Zugriff der übermittelnden Stelle verbleibt. Dies gilt 
auch für medizinische Daten.!® 


Anwendungsfälle 


Persönliche Individualität ist ausschließlich bei der konkreten Behandlung 
notwendig und hier oft unerlässlich. In allen anderen Bereichen der Ver- 
arbeitung von Gesundheitsdaten kann bzw. könnte mit anonymen und 
pseudonymen Daten gearbeitet werden. Dies entspräche dem Grundsatz 
der Datensparsamkeit, der für die Gesundheitsdatenverarbeitung ebenso 
gilt wie für sonstige Formen personenbeziehbarer Datenverarbeitung (vgl. 
§ 3a Bundesdatenschutzgesetz - BDSG). 


Dies beginnt bei der Beratung. Die meisten medizinischen Beratungsleis- 
tungen, die nicht gekoppelt sind mit einer individuellen Untersuchung 
oder Behandlung, können anonym oder zumindest pseudonym erbracht 
werden. Im Bereich der Schwangerschaftsberatung!?” oder im Zusammen- 
hang mit der Durchführung von HIV-Tests ist der anonyme Kontakt zum 
Arzt oder zur Beratungsperson schon heute Praxis. Lediglich zwecks der 
Abrechnung ist es oft nötig, die Identität derjenigen zu kennen, die eine 


15 So schon Bender MedR 1977, 7. 
16 Zu medizinischen Pseudonymisierung allgemein Menzel/Schläger DuD 1999, 74 f. 
17 S.o. Fn. 12-14. 
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Beratungsleistung in Anspruch nehmen, ohne sofort zu bezahlen. Da es 
für den Fall der Entgeltlichkeit auch anonyme elektronische Bezahlmetho- 
den gibt, sollte medizinische Beratung generell (auch) anonym in An- 
spruch genommen werden können. Anonyme (dann zumeist unentgeltli- 
che) Leistungen gibt es auch schon in sehr sensiblen Bereichen, etwa bei 
der Drogenberatung, wo das Unabhängige Landeszentrum für Datenschutz 
in Kooperation mit der Medizinischen Universität Lübeck für eine ano- 
nyme Online-Beratung das Projekt „Ecstasy Online“ realisierte.!® 


Bei der direkten persönlichen Untersuchung und Behandlung (Diagnose 
und Therapie) spielt die Individualität des Patienten eine große Rolle. Die 
umfassende Kenntnis des Arztes ist i.d.R. sinnvoll und oft notwendig. Da- 
tensparsamkeit kann hier zu einem Behandlungsrisiko werden. Doch 
selbst im direkten Behandlungsgeschäft kommt es nicht zwangsläufig auf 
die umfassende Kenntnis des Therapeuten und auf die Offenlegung der 
Identität des Patienten an. So werden z.B. eine Vielzahl von psychothera- 
peutischen Hilfsleistungen per Internet angeboten, wobei die Anonymität 
sogar u.U. eine Erfolgsbedingung für die Behandlung ist.!? Auch beim 
medizinischen Massengeschäft (z.B. Bekämpfung einer Grippeepidemie) 
oder bei stark handwerklich ausgerichteten medizinischen Leistungen 
(kleinere chirurgische Eingriffe) ist ein Ausblenden der Ganzheitlichkeit 
und Individualität des Patienten nicht nur möglich, sondern auch effekti- 
vitätsfördernd.2? Derartige Beispiele bleiben aber in der medizinischen 
Behandlung eher die Ausnahme. 


Einen klassischen Fall der Notwendigkeit pseudonymer Datenverarbeitung 
in einem Behandlungskontext stellt das Transplantationsgesetz (TPG)?! 
dar. Nach $ 13 TPG werden die personenbezogenen Daten eines Organ- 
spenders von einer Koordinierungsstelle zu einer Kenn-Nummer ver- 
schlüsselt, um Unbefugten den Rückschluss auf die Spenderperson un- 
möglich zu machen. Zugleich wird mit diesem Verfahren die Neutralität 
und Objektivität des Vermittlungsverfahrens sichergestellt.22 


Die Identifizierungsnotwendigkeit besteht nicht mehr bei fast sämtlichen 
behandlungsunterstützenden Leistungen: Die Qualität einer Labor- oder 
einer Röntgenuntersuchung hängt nicht von der Kenntnis des Namens des 
Patienten ab; ebenso wenig die technische Erstellung einer Prothese oder 
eines Zahnersatzes oder die Medikamentenbeschaffung aus einer Apo- 
theke. Dass die Pseudonymisierung keinerlei Qualitätsverlust mit sich 
bringt, sondern vielmehr die Vertrauenswürdigkeit eines äußerst sensiblen 
medizinischen Untersuchungsverfahrens erst sicherstellt, können wir bei 
der Lektüre der Regelung zum sog. genetischen Fingerabdruck im auf 


18 22, Tätigkeitsbericht (TB) Landesbeauftragter für den Datenschutz (LfD) SH 2000 Kap. 8.2 
(S. 116). 


19 Thimm Der Spiegel 38/2002, 184; Schulte von Drach Südd.Ztg. 09.07.2002, V2/9. 
20 Menzel/Schläger DuD 1999, 75. 

21 TPG vom 05.11.1997, BGBl. I, 2631. 

22 Weichert DANA 4/5-1996, 25 vgl. DANA 6-1996, 29. 
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Zuverlässigkeit hundertprozentig angewiesenen Strafverfahren erkennen, 
wo es in $ 81f Abs. 2 S. 3 StPO heißt: „Dem Sachverständigen ist das Unter- 
suchungsmaterial ohne Mitteilung des Namens, der Anschrift und des Ge- 
burtstages und -monats des Betroffenen zu übergeben“. Pseudonymisie- 
rungsverfahren sind hier möglich und werden oft nur aus Abrechnungs- 
gründen nicht praktiziert. Es wäre aus Gründen der Patientenautonomie 
wie aus Gründen einer klaren Verantwortlichkeitsregelung wünschenswert 
und sinnvoll, dass die Abrechnung ausschließlich über den behandelnden 
Arzt erfolgt. Die finanzielle Gegenleistung für einen medizinischen Service 
ist kein Hinderungsgrund für Anonymität gegenüber dem Anbieter. 


Das größte Problem bzgl. des Schutzes der Vertraulichkeit im Gesund- 
heitswesen ist die Notwendigkeit der individuellen Abrechnung über Ver- 
sicherungen und deren effektiven Mitteleinsatzes. Private wie Öffentliche 
Krankenversicherungen weigern sich, pseudonyme Zahlungs- und Kon- 
trollmechanismen zu akzeptieren. Im Interesse der Kostenminimierung ver- 
suchen sie, immer umfangreichere Datenbestände aufzubauen und ‚intelli- 
gent“ zu durchdringen, um Therapien finanziell zu optimieren, um Mitglie- 
der zu gewinnen oder diese auch zu kontrollieren. Gälte dagegen ein un- 
eingeschränktes Solidarprinzip, so könnte man hierauf verzichten. Doch ist 
unser Krankenversicherungswesen inzwischen derart von individuellen 
Anreizen, Kontrollen und Sanktionen durchdrungen, dass an einer perso- 
nenbezogenen Abrechnung kein Weg vorbei möglich scheint. 


Doch haben wir schon heute in wenigen Teilbereichen einen (gruppen-) 
pseudonymen Abrechnungsmodus bei der gesetzlichen Krankenversiche- 
rung. Die Krankenkassen erhalten die ambulanten Abrechnungsdaten nicht 
personenbezogen, sondern erst, nachdem die Kassenärztlichen Vereini- 
gungen den Personenbezug weitgehend beseitigt haben ($ 295 Abs. 2 SGB 
V). 


Ungeachtet der Begehrlichkeiten der Kassen schien im Jahr 1999 ein gene- 
reller Durchbruch für die pseudonyme Datenverarbeitung gelungen zu 
sein, als im Rahmen der Gesundheitsstrukturreform 2000 vom Bundestag 
pseudonyme Versichertenregister mit medizinischen Daten beschlossen 
wurden. Doch am Ende setzte sich der Widerstand des Bundesrates durch, 
der diesen Teil der Reform verhinderte.? Auch spätere Versuche, über ein 
Transparenzgesetz in der gesetzlichen Krankenversicherung die pseudo- 
nyme Datenverarbeitung einzuführen, scheiterten bisher. Grund war vor 
allem der Widerstand der Kassen, die partout ihr Interesse an identifizier- 
ten Mitgliederdaten nicht aufgeben wollten. Ob nun im Rahmen der Quali- 
tätskontrolle des seit Mitte 2002 in Kraft getretenen Disease Management 
Programs die pseudonyme Datenverarbeitung eingeführt wird, scheint 
weiterhin fraglich, da sich diesmal die Ärzteschaft, die hierüber kontrolliert 
werden könnte, wenig kompromissbereit zeigt.?4 


23 Weichert, Gesundheitsreform - Einstieg in die pseudonyme Datenverarbeitung? DANA 
4/1999, 21 ff. 


24 Weichert bvvp magazin 3+4/2002, 16 ff. = 
http://www.datenschutzzentrum.de/material/themen/gesund/kkdmp.htm. 
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Bei der Wartung von medizinischer elektronischer Datenverarbeitung 
bedarf es in keinem Fall der Kenntnis des Personenbezugs. So weit ver- 
breitet die auch strafrechtlich sanktionierbare Zugriffsmöglichkeit für evtl. 
gar externe Systemadministratoren auf Klardaten von Patienten ist, so 
wenig ist diese erforderlich. Durch eine systemtechnische Trennung der 
Betriebssystem-Ebene von den gespeicherten Daten lassen sich die meis- 
ten Wartungsarbeiten ohne unbefugte Datenkenntnis durchführen. Eine 
von der Systemadministration nicht decodierbare Verschlüsselung der Pati- 
entendaten öffnet weitere Sicherungsmöglichkeiten. Als letzter Schutz vor 
einer systemtechnisch bedingten Kenntnisnahme kommt zudem eine 
(technische) Pseudonymisierung der Identifizierungsdaten in Betracht. 


Am meisten etabliert dürfte die pseudonyme Datenverarbeitung in der 
medizinischen Forschung sein. Da es dem Wissenschaftler nicht auf die 
persönliche Kenntnis des Patienten ankommt, sondern von ihm eine über- 
individuelle wissenschaftliche Gesetzmäßigkeit gesucht wird, kann und 
muss sogar i.d.R. die Individualität des Patienten ausgeblendet werden. 
Dies geschieht praktisch auch ohne Ausnahme bei der medizinischen Sta- 
tistik bzw. der Gesundheitsberichterstattung als besonderer Form der Sta- 
tistik im öffentlichen Gesundheitswesen.?? Bei (epidemiologischen) 
Krankheitsregistern kommt es dagegen in Einzelfällen schon darauf an, bei 
interessanten Parametern eine Fall- oder eine Fallkontrollstudie durchzu- 
führen. Dass dies auch mit automatisierten Pseudonymisierungsverfahren 
möglich ist, zeigt insbesondere die bundesweit etablierte Krebsregistrie- 
rung. Hier wurde erstmalig in Deutschland in großem Umfang ein tech- 
nisch anspruchsvolles, aber praktisch einfach handhabbares einheitliches 
Pseudonymisierungsverfahren eingesetzt.?° Bei Langzeit- und multizentri- 
schen Studien, bei denen es nicht auf den Namen des Patienten ankommt, 
wohl aber darauf, dass mehrere Datensätze eines Patienten eindeutig zu- 
sammengeführt werden, haben sich die Pseudonymisierungsverfahren 
schon sehr weit gehend etabliert. 


Methodisch nahe bei der wissenschaftlichen Forschung angesiedelt sind 
die unterschiedlichen Maßnahmen der Organisations- und Rechnungs- 
prüfung und der Oualitätskontrolle. Hierbei ist regelmäßig die Identität des 
Therapeuten bzw. der Einrichtung, nicht aber die des Patienten relevant. 
Der Patient kann ohne wesentlichen Erkenntnisverlust als Fallnummer 
geführt werden. Nur in wenigen Fällen bedarf es der Rückführung eines 
Datensatzes auf eine konkrete Person, etwa wenn eine Nachuntersuchung 
oder eine nachträgliche Befragung stattfinden soll.?? 


25 Vgl. z.B. $ 22 TransfusionsG v. 13.01.1998, BGBl. I, 1752. 


26 $$ 7, 8 KrebsregisterG v. 04.11.1994, BGBl. I, 3351, außer Kraft getreten am 31.12.1999; vgl. 
u.a. Bäumler NJW 1997, 1622 f.; Bleyl DuD 1996, 458 f.; Pommerening, FIfFF-Kommunikation 
4/1993, 64 ff.; Schrage RDV 1990, 117 ff.; Wellbrock DuD 1994, 253. 


27 BVerfG RDV 1996, 184; dazu XIII. TB LfD Nds. 1995/1996, 119 (Kap. 20.2). 
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Praktische Fragen 


Eine zentrale Frage für die praktische Umsetzung von Anonymisierungs- 
und Pseudonymisierungsverfahren2® ist die nach der Person bzw. Stelle, 
die den Personenbezug beseitigt. Selbstverständlich kann dies im Fall von 
Datenübermittlungen nur die übermittelnde Stelle sein, nicht die empfan- 
gende Stelle, der ja der Personenbezug vorenthalten bleiben soll. Dies 
stellt die Stelle, die die personenbezogenen Daten führt, vor ein wirt- 
schaftliches und technisches Problem: Ihr wird die Beseitigung des Perso- 
nenbezugs angelastet, obwohl sie - anders als die empfangende Stelle - gar 
kein Interesse an den anonymisierten Daten und zumeist auch nicht die 
technischen Möglichkeiten zur Anonymisierung hat. Dieses insbesondere 
in der medizinischen Forschung auftretende Problem hat $ 22 Abs. 2 LDSG 
SH durch einen rechtlichen Trick gelöst: „Steht bei der übermittelnden 
Stelle zur ... Anonymisierung oder Pseudonymisierung nicht ausreichend 
Personal zur Verfügung, so können die mit der Forschung befassten Per- 
sonen diese Aufgaben wahrnehmen, wenn sie zuvor zur Verschwiegenheit 
verpflichtet worden sind“. Damit wird die berufliche Schweigepflicht für 
den kurzen Vorgang der Entpersönlichung der Daten unter Anwendung 
des Verpflichtungsgesetzes auf den Empfänger verlängert. 


Nicht nur nicht praktikabel, sondern eindeutig unzulässig sind dagegen 
Verfahren, die von vielen Firmen angewendet werden, die mit Anbietern 
von Arztpraxis-Software kooperieren. Diese Firmen haben ein Interesse an 
vom Rechner abgezogenen mehr oder weniger anonymisierten Behand- 
lungsdaten, mit denen sie Auswertungen zur Feststellung von Arzneimit- 
telwirkungen, Qualitäts- oder Organisationsuntersuchungen (z.B. zur 
Verschreibungs- und Behandlungspraxis) oder Abrechnungsauswertungen 
vornehmen. Die dabei eingesetzten Programme basieren sämtliche auf der 
Idee des Abrufes der Behandlungsdaten unter Verzicht auf die identifizie- 
renden Angaben direkt aus dem Rechner des Arztes. Dieses Verfahren der 
„Anonymisierung“ ist aus Datenschutzsicht nicht akzeptabel: Zum einen ist 
das Weglassen der Ident-Daten regelmäßig keine ausreichende Anonymi- 
sierung. Gravierender bei dieser Praxis ist aber, dass die Hoheit über die 
Entpersönlichung der Datensätze ausschließlich beim Empfänger liegt. 
Sprichwörtlich wird der Bock zum Gärtner gemacht. Ob bei diesem Abzie- 
hen von Patientendaten ein Bruch des Patientengeheimnisses erfolgt, kann 
der Arzt nicht mehr steuern, sondern dies legt der Arzt bei diesen Verfah- 
ren umfassend in völlig fremde Hände. 


Bei größeren Forschungsprojekten wie auch bei Krebsregistern wird teil- 
weise mit Treuhändermodellen gearbeitet, wobei von einer Vertrauens- 
stelle mit Hilfe einer Zuordnungsliste eine Reidentifizierung von pseudo- 
nymisierten Datensätzen erfolgt. Dieses Verfahren hat den Vorteil, dass die 
Reidentifizierung durch eine unabhängige und vertrauenswürdige Stelle 
einer höheren Missbrauchskontrolle unterworfen wird. Selbstverständlich 
muss die Einschaltung des Treuhänders rechtlich (per Gesetz oder Einwil- 


28 Menzel/Schläger DuD 1999, 74 f. m.w.N. 
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ligung) legitimiert sein und der Treuhänder einem dem ärztlichen entspre- 
chenden Geheimnisschutz unterliegen.2? 


Anonymität und Pseudonymität sind im Gesundheitsbereich fast immer 
„relativ“. Dies gilt zunächst hinsichtlich der Validität der Pseudonyme. 
Während beim Krebsregister schon bundesweit ein elektronisches Verfah- 
ren der Einwegverschlüsselung zur Generierung von Kontrollnummern 
verwendet wird, das offensichtlich gut und zuverlässig funktioniert,?® oder 
sich im Bereich der Transfusionsmedizin Barcode-Pseudonymisierungen 
im sicheren Masseneinsatz bewährt haben, werden in der medizinischen 
Forschung zumeist noch konventionelle Verfahren verwendet, die den 
Namen Pseudonymisierung nicht ernsthaft verdienen. Problematisch sind 
dabei immer die sprechenden Angaben in einem Pseudonym, etwa die 
Nutzung von Teilen des Vor- und Nachnamens und des Geburtsdatums, 
wie sie z.B. im weit verbreiteten sog. HIV-Code erfolgt. 


Die Gefahr unzulässiger Identifizierung liegt nicht nur im identifizierenden 
Teil des Datensatzes bzw. im Pseudonym. Auch die soziodemografischen 
und die medizinischen Daten können für eine Identifizierung genutzt 
werden und so die Vertraulichkeit der Gesundheitsdaten kompromittieren. 
Die seltene, z.B. nur einmal in einer Stadt vorkommende Krankheit erlaubt 
leicht die Zuordnung des damit verknüpften gesamten medizinischen Da- 
tensatzes, wenn allein die Kenntnis über diese beiden Merkmale vorliegt. 
Ob eine Pseudonymisierung oder Anonymisierung wirksam ist, hängt von 
einer Vielzahl von Faktoren ab: von dem Umfang und Detaillierungsgrad 
des Datensatzes, dessen Einzigartigkeit, der Verfügbarkeit dieser Daten an 
anderer Stelle, dem Umfang des Gesamtdatenbestandes oder der Reprä- 
sentativität der Probandengruppe. Je vollständiger ein Datenbestand eine 
bestimmte Patientengruppe darstellt, desto einfacher lässt sich mit Zusatz- 
wissen aus ihr wieder eine eindeutige Zuordnung vornehmen. Ob bzw. 
wann von einer wirksamen Pseudo- bzw. Anonymisierung gesprochen 
werden kann, kann oft nur im Einzelfall beurteilt werden. 


Ein besonderes Problem besteht, wenn nicht nur Daten auf informations- 
technischen Datenträgern, sondern biologische Informationen auf dem 
Datenträger „Gewebeprobe‘ von Patienten gespeichert werden. Derartige 
Gewebeprobenbanken finden sich in vielen Kliniken, Forschungseinrich- 
tungen und Laboren der pharmazeutischen Industrie. Im Rahmen des 
Neugeborenen-Screenings wird von den Gesundheitsbehörden faktisch 
über die gesamte Bevölkerung eine Gewebeprobensammlung erstellt.31 
Die aus der Gewebeprobe auslesbaren biologischen Informationen lassen 
sich auch nicht im Sinne der Datensparsamkeit auf das Erforderliche be- 
schränken. Insbesondere seit der Etablierung der Genchiptechnologie stel- 
len die Gewebeproben einen hebbaren Informationsschatz dar, der nach 
u.U. noch nicht bekannten Fragestellungen ausgewertet werden kann. Der 
genetische Code hat das Potenzial eines allumfassenden Perso- 
nenkennzeichens. Da Gewebeproben wegen der darin enthaltenen geneti- 


29 Jahresbericht 2000, Berliner Beauftragter für Datenschutz und Akteneinsicht, S. 122 ff. 


30 Dieses Verfahren ist generell für Längsschnittuntersuchungen geeignet Menzel/Schläger 
DuD 1999, 75. 


31 zu den Niederlanden vgl. DANA 2/2002, 36. 
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schen Informationen nie völlig sicher anonymisierbar sind, müssen diese 
einem besonderen Reidentifizierungsschutz unterworfen werden. Dies gilt 
insbesondere, wenn diesen Gewebeproben eine hohe Repräsentativität 
bzgl. einer bestimmten Bevölkerungsgruppe zukommt, so wie dies bei 
Screening-Verfahren oft der Fall ist.32 


Schlussüberlegungen 


In großen Gewebeprobenbanken, die u.U. mit zusätzlichen soziodemogra- 
fischen und medizinischen Daten verknüpft sind, kulminiert das Gegen- 
konzept eines hoch technisierten Gesundheitssystems zum bhippokratischen 
Berufsethos: Bio- und Informationstechnologie sind das Rückgrat eines 
informationsorientierten Gesundheitswesens, das den Menschen nicht 
mehr als Subjekt, sondern als Objekt behandelt, als Datenträger, Kosten- 
faktor, Risikopotenzial, Ressource oder Produktionsfaktor. Dieses Objekt 
ist Teil einer potenziellen Megainformationsmaschine. Ein solches Konzept 
hätte nichts mehr mit den hippokratischen Ursprüngen gemein, in denen 
das Arzt-Patientenverhältnis an erster Stelle steht. Sicher kann die Megain- 
formationsmaschine einen großen Gewinn für den Gesundheitszustand 
eines einzelnen Patienten wie unserer Bevölkerung in ihrer Gesamtheit 
darstellen. Das sich permanent weiter entwickelnde technische Potenzial 
kann und soll aus wirtschaftlichen wie aus gesundheitspolitischen Grün- 
den ausgenutzt und weiterentwickelt werden. Voraussetzung dafür ist 
aber, dass der Patient in seiner Individualität gestärkt wird. Die grundle- 
gende Bedingung dafür ist - auch und gerade im Gesundheitswesen - die 
effektive Etablierung des Rechts auf Anonymität. Dessen gesellschaftliche 
Anerkennung ist Voraussetzung, dass es auch rechtlich, organisatorisch 
und technisch umgesetzt wird. Die Anerkennung des Rechts auf Anony- 
mität ist angesichts der technischen Möglichkeiten der Bio- und Informati- 
onstechnik und angesichts der ökonomischen Interessen fragiler denn je. 
Umso dringender ist die Durchsetzung des schon bestehenden rechtlichen 
Schutzes. Und umso mehr lohnt es sich dafür praktisch und rechtspolitisch 
zu streiten. 


32 Zu bevölkerungsbezogenen Gen-Datenbanken Nachweise bei Weichert DuD 2002, 133 Fn. 
7. 


Anonymität im Recht der Multimediadienste 


Dr. Claudia Golembiewski 


1 Einleitung 


Im Zuge der rasch fortschreitenden technischen Entwicklung und insbe- 
sondere der Entwicklung des Internet war es erforderlich, das Recht der 
„Neuen Medien, und damit der Multimediadienste gesetzlich zu normieren. 
Bestandteil des Medienrechts sind der zwischen den Ländern geschlossene 
Staatsvertrag über Mediendienste (MDStV) sowie das Informations- und 
Kommunikationsdienstegesetz (IuKDG) des Bundes. Die neu geschaffenen 
Vorschriften traten zum 1. August 1997 in Kraft. Rechtlich werden die Mul- 
timediadienste in Mediendienste einerseits und Teledienste andererseits 
aufgeteilt. Die Legaldefinitionen der Dienste lassen sich $ 2 Abs. 1 Tele- 
dienstegesetz (TDG) bzw. $ 2 Abs. 1 Mediendienstestaatsvertrag (MDStV) 
entnehmen. Die Unterscheidung zwischen den Diensten wird in erster 
Linie danach vorgenommen, dass sich Mediendienste an die Öffentlichkeit 
wenden („an die Allgemeinheit gerichtet,), während zu den Telediensten 
auch Dienste gehören, die nur im Rahmen geschlossener Benutzergruppen 
in Anspruch genommen werden können (,für eine individuelle Nutzung 
bestimmt,)!. Die speziellen Vorschriften zum Datenschutz finden sich für 
Teledienste im Teledienstedatenschutzgesetz (TDDSG), für Mediendienste 
enthält der Mediendienstestaatsvertrag (MDStV)? einen Abschnitt über den 
Datenschutz. 


Gegenstand der nachfolgenden Ausführungen sind die für das Verhältnis 
zwischen Diensteanbieter und Nutzer geltenden datenschutzrechtlichen 
Bestimmungen des Tele- und Mediendiensterechts. Insbesondere wird der 
Frage nachgegangen, welche Konsequenzen sich aus dem einfachgesetz- 
lich geregelten Recht auf Anonymität für die Anbieter von Multimedia- 
diensten ergeben. Da die datenschutzrechtlichen Vorschriften im TDDSG 
und MDStV gleich lautend sind, beschränkt sich die folgende Darstellung 
im Wesentlichen auf die Darstellung der für Teledienste geltenden Vor- 
schriften. 


1 Vgl. Schaar, Datenschutz im Internet, 2002, Rn. 285 m.w.N. 


2 Gesetz über den Datenschutz bei Telediensten (Teledienstedatenschutzgesetz -— TDDSG) 
vom 22. Juli 1997 (BGBl. I S. 1870), geändert durch Art. 3 Gesetz über rechtliche Rahmenbe - 
dingungen für den elektronischen Geschäftsverkehr (EGG) vom 14.12.2001 (BGBl. I S. 3721). 


3 Gesetz zu dem Staatsvertrag über Mediendienste (Mediendienste-Staatsvertrag) vom 
09.05.1997 (GVOBI. Schl.-H. 1997 S. 318), zuletzt geändert durch das Gesetz zur Anderung 
rundfunkrechtlicher Vorschriften vom 22.05.2002 (GVOBI. Schl.-H. S.110). 


H. Bäumler et al. (eds.), Anonymität im Internet 
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Personenbezug der bei der Nutzung von Tele- und Mediendiensten 
anfallenden Daten 


Das Bundesverfassungsgericht leitete in seinem für das gesamte Daten- 
schutzrecht richtungsweisenden Volkszählungsurteil das Recht auf infor- 
mationelle Selbstbestimmung aus dem durch Art. 2 Abs. 1 Grundgesetz 
(GG) in Verbindung mit Art. 1 Abs. 1 GG gewährleisteten Allgemeinen 
Persönlichkeitsrecht ab. Dieses Grundrecht gewährleiste insoweit die Be- 
fugnis des Einzelnen, selbst über die Preisgabe und Verwendung seiner 
persönlichen Daten zu bestimmen. Da es sich bei dem Recht auf informa- 
tionelle Selbstbestimmung um ein Grundrecht handelt, bezieht es sich auf 
den Schutz der Daten natürlicher Personen. Der Begriff der perso- 
nenbezogenen Daten wird daher im Bundesdatenschutzgesetz (BDSG) 
sowie in den Landesdatenschutzgesetzen einheitlich als „Einzelangaben 
über persönliche oder sachliche Verhältnisse einer bestimmten oder be- 
stimmbaren natürlichen Person (Betroffener), definiert (vgl. 
$ 3 Abs. 1 BDSG). Auch das TDDSG bzw. die den Datenschutz betreffen- 
den Vorschriften des MDStV beziehen sich auf den Schutz personenbezo- 
gener Daten. Für den Begriff der personenbezogenen Daten ist ebenfalls 
die Definition des BDSG zugrunde zu legen. Die Vorschriften betreffen das 
Verhältnis zwischen dem Anbieter eines Dienstes und dem Nutzer als na- 
türlicher Person. 


Bei der Inanspruchnahme der Angebote von Tele- und Mediendiensten 
fallen personenbezogene Daten über die jeweiligen Nutzer an. Dieses ist 
nicht nur dann der Fall, wenn der Nutzer Internet-Formulare ausfüllt oder 
seine E-mail-Adresse angibt. Bereits der Abruf von Webseiten lässt eine 
lange Datenspur entstehen, die der Nutzer auf seinem Weg durch das 
WorldWideWeb hinter sich herzieht. Diese besteht u.A. aus IP-Adressen, 
Kennungen in Cookies von besuchten Webseiten oder Werbeanbietern 
sowie den URLs besuchter Webseiten. Aus datenschutzrechtlicher Sicht 
kommt insbesondere der IP-Adresse eine wichtige Bedeutung zu. Es han- 
delt sich um die eindeutige Adresse eines Rechners im Internet, die jedem 
Rechner — vergleichbar einer Telefonnummer in herkömmlichen Telefon- 
netzen — zugewiesen ist und die die Adressierung eines anderen Rechners 
ermöglicht. Da eine IP-Adresse im Internet lediglich einmal vergeben ist, 
ermöglicht sie grundsätzlich die Identifizierung eines anderen Nutzers und 
kann insoweit ein personenbezogenes Datum darstellen. In der Praxis lässt 
sich der Personenbezug der IP-Adresse jedoch nicht ohne weiteres ein- 
deutig feststellen. Vielmehr bedarf es der Unterscheidung zwischen stati- 
schen und dynamischen IP-Adressen. Während den Internet-Servern stati- 
sche, d.h. feste IP-Adressen zugeordnet sind, haben die Internet-Nutzer 
zumeist dynamische IP-Adressen. Wer sich über einen so genannten Ac- 
cess-Provider oder einen Online-Dienst in das Internet einwählt, bekommt 
von diesem eine so genannte dynamische IP-Adresse für die jeweilige 
Internet-Session zugewiesen. 


4 BVerfGE 65, 1 G1 ff). 
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Die Betreiber von Webservern speichern Protokolldateien, d.h. sog. Logfi- 
les. Neben den IP-Adressen der aufgerufenen Webseiten enthalten diese 
Dateien die exakten Zugriffszeiten, Informationen über das genutzte Be- 
triebssystem, den verwendeten Web-Browser sowie etwaige URLs von 
Seiten, über die der Nutzer weitergeleitet wurde. Zwar dienen die Logfiles 
in erster Linie der Funktionsprüfung, der statistischen Analyse sowie der 
Prüfung von Fehlfunktionen, jedoch können sie zusätzlich auch zur Er- 
stellung von Nutzungsstatistiken und damit zur Auswertung des Nutzerver- 
haltens verwendet werden. Der Betreiber erhält aufgrund der gespeicher- 
ten Logfiles Kenntnis von der IP-Adresse des Nutzers. Allerdings kann er in 
der Regel wegen der Vergabe dynamischer IP-Adressen an die Nutzer 
nicht ohne weiteres feststellen, welcher Nutzer sich hinter welcher IP-Ad- 
resse verbirgt. Vielmehr lassen die dynamisch vergebenen IP-Adressen 
lediglich Rückschlüsse auf den Access-Provider bzw. Online-Dienst zu, 
dem der IP-Adressbereich zugewiesen ist. Für den Betreiber eines Webser- 
vers handelt es sich bei der IP-Adresse daher nicht um ein personenbezo- 
genes Datum. Insbesondere besteht keine rechtliche Befugnis, von dem 
Access-Provider Auskunft über die Identität eines Nutzers, dem eine kon- 
krete IP-Adresse zugeordnet ist, zu verlangen. 


Eine andere datenschutzrechtliche Bewertung ist für den Access-Provider 
als Zugangsanbieter vorzunehmen. Für diesen stellt es kein Problem dar, 
auch bei dynamisch vergebener IP-Adresse die Identität des Nutzers zu 
ermitteln. Der Access-Provider hat nämlich zum Zeitpunkt der Nutzung 
Kenntnis davon, welchem Nutzer zu einem bestimmten Zeitpunkt welche 
IP-Adresse aus dem dem Access-Provider zur Verfügung gestellten Pool an 
IP-Adressen zugewiesen ist. Diese Informationen lassen sich regelmäßig 
den beim Access-Provider aufgezeichneten Logfiles entnehmen. Für den 
Access-Provider stellt die IP-Adresse - anders als für den Betreiber eines 
Webservers — ein personenbezogenes Datum dar. 


Die statische IP-Adresse, die während des Surfens im Internet in den Pro- 
tokolldateien der aufgerufenen Webserver aufgezeichnet wird, ist aus da- 
tenschutzrechtlicher Sicht anders zu bewerten als die dynamisch verge- 
bene IP-Adresse. Zwar ist die statische IP-Adresse zunächst als rechner- 
und damit nicht von vornherein personenbezogenes Datum einzuordnen, 
da sich fest vergebene IP-Adressen jedoch leichter den dahinter stehenden 
Nutzern zuordnen lassen, als es bei dynamischen IP-Adressen der Fall ist, 
ist regelmäßig von einem Personenbezug der statischen IP-Adresse auszu- 
gehen. 


> Vgl. zum Ganzen Golembiewski, Rechtliche Grundlagen des Anonym isierungsdienstes, in: 
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (Hrsg.), Sicherheit im 
Internet durch Anonymität, 2002, S. 29 (29f.); 22. Tätigkeitsbericht des LD SH 2000, Tz. 7.1.2. 
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Praktisches Bedürfnis für die Möglichkeit der anonymen Internet-Nutzung 


Die vorstehenden Ausführungen zeigen, dass jeder Nutzer des Internet 
beim Surfen eine Datenspur hinter sich herzieht. Sein Weg durch das Netz 
kann anhand der hinterlassenen Spuren, insbesondere der IP-Adresse, 
problemlos nachvollzogen werden. Gerade hierin liegt der Unterschied der 
Online-Welt zur Offline-Welt. Während man sich auf der Straße oder beim 
Einkaufen frei bewegen kann, ohne zwingend seinen Namen zu hinterlas- 
sen, fallen bei der Nutzung des Internet - technisch bedingt - zwangsläufig 
Daten über den zurückgelegten Weg durch das WWW an. Diese Daten 
können von Dritten zur Erstellung von Persönlichkeitsprofilen über den 
Nutzer verwendet werden. Diese Profile werden umso detaillierter je mehr 
Daten der Nutzer hinterlässt, z.B. durch Ausfüllen von Internet-Formularen, 
die Verwendung von Suchmaschinen oder das Versenden von SMS-Nach- 
richten oder E-Mails. Beobachter können unterschiedliche Stellen sein. So 
werden die Daten einerseits von Marketingfirmen verwendet, die Profile 
erstellen, um auf diese Weise Kundeninteressen zu analysieren, anderer- 
seits haben beispielsweise auch Arbeitgeber, Versicherungen, Geheim- 
dienste oder auch Kriminelle durchaus Interesse an den bei der Internet- 
Nutzung hinterlassenen Datenspuren. Des Weiteren werden mittlerweile 
häufig auch Firmen von der Konkurrenz bespitzelt. Während man sich 
gegen das Mitlesen von Inhalten, z.B. bei der E-Mail-Kommunikation, 
wirksam durch die Verwendung von Verschlüsselungsprogrammen schüt- 
zen kann, ist dieses beim Abruf von Webseiten schwieriger. Die IP-Adresse 
des Nutzers ist nämlich erforderlich, um den Nutzer überhaupt adressieren 
und ihm so die Inhalte der aufgerufenen Webseite zur Verfügung stellen 
zu können. Gerade diese Informationen lassen aber bereits Rückschlüsse 
auf den Nutzer zu, wenn z.B. das Internetangebot von Beratungsstellen im 
Bereich der Seelsorge aufgerufen wird®. Die Möglichkeit der anonymen 
Internet-Nutzung stellt daher ein wichtiges Instrument des Einzelnen dar, 
sich selbst vor Beobachtung zu schützen. 


Gesetzliche Regelungen für den Umgang mit personenbezogenen Daten 
durch Tele- und Mediendienste 


Sowohl das TDDSG als auch der MDStV enthalten detaillierte Regelungen 
zur Zulässigkeit der Verarbeitung personenbezogener Daten durch Anbie- 
ter von Tele- bzw. Mediendiensten. 


Sofern Dienste im Internet in Anspruch genommen werden, fallen zum 
einen Nutzungsdaten und zum anderen Bestandsdaten an. Eine Definition 
der Nutzungsdaten lässt sich § 6 Abs. 1 TDDSG ($ 19 Abs. 2 MDStV) ent- 
nehmen. Nach dieser Vorschrift darf der Diensteanbieter personenbezo- 
gene Daten eines Nutzers ohne dessen Einwilligung nur erheben, verar- 


6 vgl. Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz vom 16. Februar 
2001. 
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beiten und nutzen, soweit dies erforderlich ist, um die Inanspruchnahme 
von Telediensten zu ermöglichen und abzurechnen. Als Nutzungsdaten 
gelten insbesondere Merkmale zur Identifikation des Nutzers, Angaben 
über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung 
und Angaben über die vom Nutzer in Anspruch genommenen Teledienste. 
Bei den Nutzungsdaten handelt es sich um besonders sensible Informatio- 
nen, da sie das Kommunikationsverhalten des Nutzers im Internet präzise 
beschreiben’. Sie offenbaren im Gegensatz zu den bloßen Verbindungsda- 
ten in der Telekommunikation, die Auskunft über die anrufende und ange- 
rufene Nummer sowie Zeit und Dauer einer Verbindung geben, auch In- 
halte der Kommunikation, wie z.B. URL’s aufgerufener Seiten oder die 
Anfragen bei Suchmaschinen. Sie sind daher geeignet, Auskunft über die 
inhaltlichen Interessen der Nutzer zu geben. Nutzungsdaten stellen per 
definitionem personenbezogene Daten dar, so dass bei völlig anonymer 
Inanspruchnahme von Diensten beim Diensteanbieter auch keine Nut- 
zungsdaten entstehen?. 


Die Erhebung und Speicherung von Nutzungsdaten ist nur dann zulässig, 
wenn dies technisch erforderlich ist, um den Dienst zu erbringen. Über das 
Ende des Nutzungsvorgangs hinaus darf der Diensteanbieter die Nut- 
zungsdaten nur verarbeiten und nutzen, soweit sie für Zwecke der Ab- 
rechnung mit dem Nutzer Dienstes erforderlich sind ($ 6 Abs. 4 TDDSG 
bzw. § 19 Abs. 5 MDStV). Daraus folgt, dass Nutzungsdaten außerhalb 
dieser Bestimmungen nur verarbeitet werden dürfen, wenn dies durch 
eine spezielle gesetzliche Regelung ausdrücklich erlaubt ist oder aber eine 
Einwilligung des Betroffenen vorliegt. Nur mit Einwillligung des Nutzers 
dürfen Nutzungsdaten daher für Zwecke der Werbung, der Marktforschung 
oder der bedarfsgerechten Gestaltung der Teledienste verwendet werden?. 


Darüber hinaus erlaubt $ 6 Abs. 3 TDDSG die Erstellung von Nutzungs- 
profilen unter den dort geregelten Voraussetzungen. So darf der 
Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur 
bedarfsgerechten Gestaltung der Teledienste gemäß § 6 Abs. 3 TDDSG 
(vgl. auch $ 19 Abs. 4 MDStV) Nutzungsprofile bei Verwendung von Pseu- 
donymen erstellen, sofern der Nutzer dem nicht widerspricht. Da der 
Diensteanbieter den Nutzer jedoch zu Beginn des Nutzungsvorgangs ge- 
mäß § 4 Abs. 1 TDDSG über Art, Umfang und Zwecke der Erhebung, Ver- 
arbeitung und Nutzung personenbezogener Daten zu unterrichten hat, hat 
der Diensteanbieter den Nutzer in diesem Rahmen auch auf sein Wider- 
spruchsrecht hinsichtlich der Erstellung von Nutzungsprofilen hinzuweisen. 
Die erstellten Nutzungsprofile dürfen nicht mit Daten über den Träger des 
Pseudonyms zusammengeführt werden ($ 6 Abs. 3 Satz 3 TDDSG bzw. 
$ 19 Abs. 4 Satz 3 MDStV). 


7 Golembiewski, aaO, S. 29 (33); vgl. Engel-Flechsig, in: Engel-Flechsig/Maennel/Tettenborn 
(Hrsg.), Beck’ scher IuUKDG Kommentar, 2001, $ 6 TDDSG, Rn. 5. 


8 Vgl. Schaar, aaO, Rn. 423. 
9 Vgl. Schaar, aaO, Rn. 429. 
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Erfolgt die Inanspruchnahme eines Teledienstes personenbezogen, so 
werden für die Zwecke der Abrechnung die anfallenden Nutzungsdaten 
mit den sog. Bestandsdaten verknüpft. $5 TDDSG ($ 19 Abs. 1 MDStV) 
enthält eine Definition der Bestandsdaten. Es handelt sich um personenbe- 
zogene Daten eines Nutzers, die für die Begründung, inhaltliche Ausges- 
taltung oder Änderung eines Vertragsverhältnisses mit ihm über die Nut- 
zung von Telediensten erforderlich sind. Es handelt sich z.B. um Daten, 
die von einem Access-Provider im Rahmen einer Vertragsbeziehung mit 
dem Kunden erhoben werden. Hierzu können Personalien, Angaben über 
die Bankverbindung, E-Mail-Adressen etc. gehören. Da die Abrechnung 
bei den meisten Access-Providern nach Zeit oder Datenvolumen erfolgt, ist 
es beispielsweise erforderlich, festzustellen, welcher Nutzer zu welcher 
Zeit wie lange den Dienst in Anspruch genommen hat. Wenn es zu Ab- 
rechnungszwecken erforderlich ist, dürfen Provider daher speichern, von 
wann bis wann ein Nutzer eingeloggt war bzw. welches Datenvolumen 
transferiert wurde. Es dürfen dabei jedoch lediglich diejenigen Daten ge- 
speichert werden, die für die Abrechnung tatsächlich erforderlich sind. 
Sofern die Abrechnung nach der Nutzungszeit erfolgt, dürfen daher nicht 
die abgerufenen Inhalte mitprotokolliert werden, sondern lediglich die 
Abrufzeiten. Bei der Verwendung von Flatrates ist die Erhebung personen- 
bezogener Nutzungsdaten von vornherein nicht erforderlich und damit 
unzulässig. 


Obwohl die Zulässigkeitsvoraussetzungen für die Verarbeitung der bei der 
Internet-Nutzung anfallenden personenbezogenen Daten präzise geregelt 
ist, zeigt der Blick in die Praxis, dass trotz detaillierter Regelungen nicht 
selten gegen die Vorschriften des TDDSG bzw. MDStV verstoßen wird. 
Häufig wird an den Webservern aufgezeichnet, mit welchen IP-Adressen 
welche Angebote abgerufen wurden, obwohl wegen der Kostenfreiheit des 
Angebotes eine Abrechnung entfällt und die IP-Adressen insoweit gar nicht 
gespeichert werden dürften. Auch speichern Access-Provider häufig über 
den Nutzungszeitraum hinaus auch, welche IP-Adresse welchem Nutzer 
zugeordnet war, obwohl dieses nach den Vorschriften des TDDSG gerade 
nicht zulässig ist!°. 


Das Recht auf Anonymität im Medienrecht 


Die den Datenschutz im Internet regelnden Vorschriften des TDDSG sowie 
des MDStV normieren jeweils ein einfachgesetzliches Recht des Einzelnen 
auf Anonymität. So heißt es in $4 Abs. 6 TDDSG wörtlich: „Der Dien- 
steanbieter hat dem Nutzer die Inanspruchnahme von Telediensten und 
ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies 
technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit 
zu informieren“. $ 18 Abs. 6 MDStV enthält eine gleich lautende Vorschrift 
für die Anbieter von Mediendiensten. 


10 Vgl. zum Ganzen Golembiewski, aaO, S. 29 (33). 
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Mit der Aufnahme dieser Verpflichtung, die anonyme oder pseudonyme 
Nutzung zu ermöglichen, hat der Gesetzgeber die im BDSG sowie in eini- 
gen Landesdatenschutzgesetzen normierten allgemeinen Grundsätze der 
Datenvermeidung und Datensparsamkeit für die Diensteanbieter nach dem 
TDDSG bzw. MDStV konkretisiert. Diese Grundsätze zielen darauf, keine 
oder so wenig personenbezogene Daten wie möglich zu erheben, zu ver- 
arbeiten oder zu nutzen und sehen die Verpflichtung vor, von den Mög- 
lichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu ma- 
chen (vgl. $ 3a BDSG, § 4 Abs. 1 Landesdatenschutzgesetz Schleswig-Hol- 
stein). Bevor die Grundsätze der Datenvermeidung und Datensparsamkeit 
in $ 3a Satz 1 BDSG ihre gesetzliche Grundlage fanden, enthielt bereits 
$ 3 Abs. 4 TDDSG in seiner ursprünglichen Fassung vom 22. Juli 199711 
eine entsprechende Regelung. 


Die Vorschrift formulierte insoweit die Grundsätze der Datenvermeidung 
bzw. des Systemdatenschutzes als Elemente eines modernen Datenschut- 
zes: Bereits durch die Gestaltung von Systemstrukturen, in denen perso- 
nenbezogene Daten erhoben und verarbeitet werden, sollte einer unzuläs- 
sigen Datenverwendung vorgebeugt und die Selbstbestimmung des Nut- 
zers sichergestellt werden. Dem herkömmlichen, auf Verboten mit Erlaub- 
nisvorbehalten fußenden Datenschutzrecht wurde durch die gesetzliche 
Forderung einer datenschutzrechtlichen Technikgestaltung ein zusätzliches 
Element hinzugefügt, um so der raschen technischen Entwicklung auch 
datenschutzrechtlich folgen zu können!?. Da die Grundsätze der Datenver- 
meidung und Datensparsamkeit im Mai 2001 eine eigene gesetzliche Re- 
gelung im novellierten BDSG gefunden haben, wurden die bereichsspezifi- 
schen Regelungen des Medienrechts entbehrlich. 


Der Grundsatz des Systemdatenschutzes findet in der Vorschrift des 
§ 4 Abs. 6 TDDSG seine konkrete gesetzliche Ausprägung. Neben dem 
Grundsatz des Systemdatenschutzes erlangt auch der Grundsatz des 
Selbstdatenschutzes eine besondere Bedeutung. In globalen Netzen und 
einer Welt allgegenwärtiger Datenverarbeitung sind Staat und Recht näm- 
lich lediglich begrenzt in der Lage, die informationelle Selbstbestimmung 
ihrer Bürger zu schützen. Insoweit ist es erforderlich, dass dem Bürger 
zum Schutz der Selbstbestimmung ermöglicht wird, Mittel zu ergreifen, um 
seine informationelle Selbstbestimmung zu schützen!?. Der Staat kann den 
gebotenen Datenschutz insoweit nicht mehr in vollem Umfang selbst ge- 
währleisten und muss dem Betroffenen eigene Instrumente in die Hand 
geben, seine informationelle und kommunikative Selbstbestimmung zu 
schützen!?. Die Möglichkeit, anonym oder pseudonym zu handeln, stellt 


11 BGBl. IS. 1870; der Mediendienstestaatsvertrag in der Fassung vom 20. Januar/ 12. Febru- 
ar 1997 enthielt ebenfalls eine dieser Vorschrift entsprechende Regelung. 


12 Vgl. Engel-Flechsig, aaO, $ 3 TDDSG, Rn. 37 m.w.N. 


13 Vgl. Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, Gutachten im 
Auftrag des Bundesministeriums des Innern, 2001, S. 148. 


14 Vgl. Roßnagel/Scholz, Datenschutz durch Anonymität und Pseudonymität, MMR 2000, 721 
(722) m. zahlr. w. Nachw. 
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hierbei wohl das wichtigste Mittel des Selbstdatenschutzes dar. Während 
diese Möglichkeit in der Offline-Welt selbstverständlich ist, besteht sie im 
Internet und in der künftigen Welt allgegenwärtiger Datenverarbeitung 
nicht mehr, da jede Handlung mit technischer Notwendigkeit Datenspuren 
hinterlässt. Es bedarf daher erst einer Schaffung von Verfahren für anony- 
mes und pseudonymes Handeln??. 


Durch $4 Abs. 6 TDDSG wird dem Diensteanbieter konkret die Ver- 
pflichtung auferlegt, die Inanspruchnahme von Telediensten anonym oder 
unter Pseudonym zu ermöglichen. Die Vorschrift geht über die Verpflich- 
tung gemäß $ 3a BDSG hinaus. Während bei der nachträglichen Anonymi- 
sierung bzw. Pseudonymisierung im Sinne dieser Vorschrift die Daten 
nämlich zunächst mit Personenbezug erhoben werden und dieser Perso- 
nenbezug später entfernt wird, zielt die Verpflichtung in $ 4 Abs. 6 TDDSG 
darauf ab, von vornherein zu vermeiden, dass personenbezogene Daten 
überhaupt erst entstehen. 


Die Verpflichtung der Diensteanbieter zur Schaffung einer Möglichkeit der 
anonymen bzw. pseudonymen Inanspruchnahme steht unter dem Vorbe- 
halt der technischen Möglichkeit und Zumutbarkeit ($ 4 Abs. 6 Satz 1, 
2. Halbs. TDDSG). Diensteanbieter haben die anonyme oder pseudonyme 
Inanspruchnahme nur dann zu ermöglichen, wenn dies technisch möglich 
ist, d.h. wenn technische Komponenten verfügbar sind, die die anonyme 
Benutzung oder Bezahlung von Telediensten gestatten!®. Gerade diese 
Entwicklung technischer Möglichkeiten zur Umsetzung der den Dienstean- 
bietern durch das TDDSG gesetzlich auferlegten Verpflichtung, die ano- 
nyme Inanspruchnahme von Internet-Diensten zu ermöglichen, ist Ge- 
genstand des in Kooperation zwischen der Technischen Universität Dres- 
den bzw. Freien Universität Berlin und dem Unabhängigen Landeszentrum 
für Datenschutz Schleswig-Holstein durchgeführten und vom Bundesmi- 
nisterium für Wirtschaft und Technologie geförderten Forschungsprojektes 
„AN.ON - Anonymität Online,. Im Rahmen dieses Projektes wurde ein 
Anonymisierungsdienst entwickelt, der die Möglichkeit der technischen 
Umsetzung der gesetzlichen Verpflichtung des $ 4 Abs. 6 TDDSG in die 
Praxis zeigt!”. 


Spannungsverhältnis zwischen Anonymität und Strafverfolgung 


Die den Diensteanbietern vom Gesetzgeber auferlegte Verpflichtung zur 
Schaffung einer Möglichkeit der anonymen bzw. pseudonymen Nutzung 
von Tele- und Mediendiensten wirft die Frage auf, ob diese Verpflichtung 
nicht mit den Interessen der Strafverfolgungsbehörden kollidiert. Das Inte- 
resse des Einzelnen an Anonymität und Unbeobachtbarkeit im Internet 


15 Roßnagel/Pfitzmann/Garstka, aaO, S. 148. 
16 Engel-Flechsig, aaO, $ 4 TDDSG, Rn. 11. 


17 Vgl. zum technischen Hintergrund und den Zielen des Projektes „AN.ON - Anonymität 
online, den Beitrag von Federrath in diesem Band, S. 172 ff. 
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steht dem Interesse der Strafverfolgungsbehörden an einer wirksamen 
Strafverfolgung gegenüber. Dieses Spannungsverhältnis hat der Gesetzge- 
ber im Rahmen des Gesetzgebungsverfahrens zum TDDSG allerdings 
durchaus gesehen und im Sinne des Grundrechts auf informationelle 
Selbstbestimmung entschieden. 


Im Rahmen des Gesetzgebungsverfahrens hat der Bundesrat die Bundesre- 
gierung um Prüfung der Frage gebeten, ob die Ermöglichung der anony- 
men Inanspruchnahme von Telediensten nicht die Zwecke der Strafverfol- 
gung vereiteln könnte!®. Die Bundesregierung hat dazu ausgeführt, mit 
den im TDDSG getroffenen Regelungen werde ein angemessener Aus- 
gleich zwischen dem Recht auf informationelle Selbstbestimmung einer- 
seits und den Interessen der Strafverfolgungsbehörden andererseits herbei- 
geführt. Informationelle Selbstbestimmung könne in globalen Netzwerken 
nur durch größtmögliche Anonymität der Nutzer gewährleistet werden. 
Dabei seien die verschiedenen Nutzungskonstellationen zwischen dem 
Nutzer und einer Vielzahl von Diensteanbietern zu berücksichtigen. Den 
Interessen der Strafverfolgungsbehörden könne durch die Ausschöpfung 
der in der Strafprozessordnung vorgesehenen Ermittlungsmöglichkeiten 
Rechnung getragen werden!?. 


Konkret bedeutet dies, dass, sofern ein Anfangsverdacht einer Straftat vor- 
liegt, gemäß $ 100a Strafprozessordnung (StPO) ein richterlicher Beschluss 
zur Überwachung der Telekommunikationsinhaltsdaten beantragt werden 
kann. Im Eilfall kann auch zunächst die Staatsanwaltschaft die Herausgabe 
dieser Daten verlangen. Nach dem erst kürzlich neu geschaffenen $$ 100g, 
h StPO kann eine Auskunft über Verbindungsdaten ebenfalls mit richterli- 
cher Anordnung und wiederum im Eilfall durch die Staatsanwaltschaft 
gefordert werden. Allerdings müssen nach diesen Vorschriften nur die 
vorhandenen Verbindungsdaten herausgegeben werden; eine Verpflich- 
tung zur Speicherung von Verbindungsdaten wollte der Gesetzgeber mit 
der zum 1. Januar 2002 in Kraft getretenen Vorschrift nämlich ausdrücklich 
nicht schaffen". Sofern Daten bei einer anonymen Inanspruchnahme des 
Internet gerade nicht anfallen, hat sich der Gesetzgeber jüngst erneut für 
einen Vorrang der grundrechtlichen Interessen an einer anonymen oder 
pseudonymen Nutzungsmöglichkeit entschieden. 


Auch im Rahmen der neuesten Novellierung des TDDSG zum 1. Januar 
2002 blieb die die anonyme bzw. pseudonyme Inanspruchnahme von 
Telediensten ermöglichende Vorschrift in ihrem Wortlaut unverändert. 
Gleiches gilt für die der Vorschrift entsprechende Regelung im MDStV 
($ 18 Abs. 6). Daraus ist zu schließen, dass der Gesetzgeber die Einräu- 
mung der anonymen und pseudonymen Nutzungsmöglichkeit weiterhin 
als ein wichtiges Anliegen betrachtet. 


18 Vgl. dazu Engel-Flechsig, aaO, $ 4 TDDSG, Rn. 3 m.w.N. 
19 BT-Drucks. 13/7385, S. 71. 
20 So die Gesetzesbegründung BT-Drucks. 14/7008, S. 7). 
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Schlussbemerkung 


Die vorstehenden Ausführungen zeigen, dass es angesichts technischer 
Notwendigkeiten nicht möglich ist, Dienste im Internet zu nutzen, ohne 
hierbei Datenspuren zu hinterlassen und sich selbst auf diese Weise der 
Beobachtung durch andere auszusetzen. Angesichts der Fülle der anfallen- 
den Daten ist der Einzelne nicht mehr in der Lage, die Verfügungsbefugnis 
über seine Daten zu behalten und diese durch Ausübung der den Betrof- 
fenen durch das Datenschutzrecht eingeräumten Rechte zu kontrollieren. 
Für einen wirksamen Schutz des Rechts des Einzelnen auf informationelle 
Selbstbestimmung ist es daher umso wichtiger, anonymes oder pseudony- 
mes Handeln zu ermöglichen. Dem Einzelnen muss die Möglichkeit einge- 
räumt werden, selbst dazu beizutragen, dass so wenig personenbezogene 
Daten wie möglich über ihn anfallen. Dieses kann nur durch die Schaffung 
technischer Vorkehrungen geschehen. Zum effektiven Schutz des Rechts 
auf informationelle Selbstbestimmung ist es daher erforderlich, die den 
Diensteanbietern durch den Gesetzgeber auferlegte Verpflichtung zur Er- 
möglichung der anonymen bzw. pseudonymen Inanspruchnahme von 
Tele- bzw. Mediendiensten in die Praxis umzusetzen. Auf diese Weise 
kann dem Einzelnen ein wirksames Instrument zum Selbstdatenschutz und 
damit zur effektiven Wahrnehmung seines Rechts auf informationelle 
Selbstbestimmung zur Verfügung gestellt werden. 


Anonymität, Pseudonymität und E-Government - geht das? 


Lukas Gundermann 


1 Vorbemerkung 


Von verschiedenen Autoren und Stellen ist die Forderung erhoben wor- 
den, bei der Planung und Einführung von E-Government-Verfahren müsse 
auch eine anonyme oder wenigstens pseudonyme Nutzungsmöglichkeit 
realisiert werden. Dies sei schon im Hinblick auf $ 4 Abs. 6 TDDSG gebo- 
ten.! Motiviert waren diese Vorstöße von der Erkenntnis, dass Anonymisie- 
rung und Pseudonymisierung in vielen Bereichen zur Datensparsamkeit 
beitragen und damit eine wichtige Rolle für einen modernen Datenschutz 
spielen können. Im Folgenden wird untersucht, ob Pseudonymisierung 
und Anonymisierung auch für Anwendungen im E-Government in Betracht 


kommen. 
2 Begriffsklärungen 
2.1 E-Government 


Der Begriff E-Government ist zahlreichen Definitionsversuchen ausgesetzt, 
allerdings ohne dass sich eine Definition als vorherrschend herausgebildet 
hätte. Für die Zwecke der vorliegenden Ausarbeitung bietet es sich an, auf 
die sog. Speyerer Definition zurückzugreifen, die am Forschungsinstitut für 
öffentliche Verwaltung bei der Deutschen Hochschule für Verwaltungswis- 
senschaften Speyer von Jörn von Lucke und Heinrich Reinermann erar- 
beitet wurde.? Unter Electronic Government wird danach verstanden „die 
Abwicklung geschäftlicher Prozesse im Zusammenhang mit Regieren und 
Verwalten (Government) mit Hilfe von Informations- und Kommunikati- 
onstechniken über elektronische Medien.“ Die Definition soll sowohl die 
lokale oder kommunale Ebene, die regionale oder Landesebene, die nati- 
onale oder Bundesebene sowie die supranationale und globale Ebene 
umfassen und ausdrücklich den gesamten öffentlichen Sektor, bestehend 
aus Legislative, Exekutive und Jurisdiktion sowie Öffentlichen Unterneh- 


1 Vgl. z.B. Stellungnahme des ULD SH, 
http://www.datenschutzzentrum.de/material/themen/divers/aendvwv f.htm#3e, unter 3. 


2 Gundermann, Datenschutzfreundliche Technologien in den Datenschutzgesetzen der 3. 
Generation, in: BSI (Hrsg.), IT-Sicherheit ohne Grenzen?, 1999, S. 137 ff.; Roßnagel/Scholz, 
MMR 2000, S. 721 ff. 


3 http://foev.dhv-speyer.de/ruvii. 
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men einschließen. Während bei dieser Definition die Kommunikationsbe- 
ziehungen der Verwaltung im Vordergrund stehen,4 darf nicht vernachläs- 
sigt werden, dass auch die verwaltungsinternen Prozesse von dem durch 
E-Government hervorgebrachten Anpassungsdruck zu Veränderungen 
gezwungen werden. Stichworte, die diesen Bereich beschreiben sollen, 
sind z.B. Workflow und elektronische Archivierung. Zwar wurden diese 
internen Prozesse auch schon in früheren Modernisierungs- und Technisie- 
rungswellen als Ziel ins Auge gefasst. Neu am E-Government ist allerdings 
der umfassende Ansatz, der versucht, den gesamten Prozess der Datenver- 
arbeitung zur Erstellung von Verwaltungsprodukten im weitesten Sinn in 
ein einheitliches Schema zu passen. 


Im Folgenden geht es um Fragen der Anonymität und der Pseudonymität. 
Da diese Zustände immer in bestimmten Beziehungen existieren, die min- 
destens zwei Parteien umfassen, konzentriert sich die Darstellung auf die 
nach außen gerichteten Kontakte der Verwaltung. Angesprochen sind da- 
mit die Bereiche, die nach der Speyerer Definition mit den neudeutschen 
Abkürzungen C2G (Citizen/Community/Consumer-to-Government), B2G 
(Business-to-Government) und N2G (NPO/NGO-to-Government) bezeich- 
net werden; wobei auch jeweils die umgekehrte Richtung des Informati- 
onsflusses erfasst sein soll. 


Typisierung der Verwaltungsprodukte 


Für die vorliegende Untersuchung bietet sich eine Klassifizierung der Leis- 
tungen der Verwaltung an, die die wichtigsten Felder für den Einsatz von 
E-Government erfasst und hinreichend klar unterscheidet. Es ließen sich 
(ohne Anspruch auf Vollständigkeit und Ausschließlichkeit) unterscheiden: 


e Demokratische Wahlen als ein Element des staatlichen Kernbereichs 
(„E-Voting‘), 


e  Verwaltungsprodukte im engeren Sinne, diese können weiter wie folgt 
unterteilt werden: 


- Zugriff auf Register, die bei der Verwaltung geführt werden, 


- „Echte“ Verwaltungsverfahren im Sinne von $ 9 VwVfG (= $ 74 
LVwG SH), 


- Daseinsvorsorge, Ver- und Entsorgung (Größe der Mülltonne 
etc.), 


- Sonstige Verwaltungsangebote, vor allem Leistungen (Ausstellen 
von Personenstandsurkunden, Anmeldung zur VHS). 


4 Nutzung der Neuen Medien und namentlich des Internet stehen bei der Diskussion über 
E-Government oft im Vordergrund. Soweit allerdings bereits in der Definition das Fehlen von 
Medienbrüchen vorausgesetzt wird (so Schuppan/Reinhard, LKV 2002, S. 105, 106), muss 
festgestellt werden, dass die reale Entwicklung den theoretischen Konzepten noch stark 
hinterherhinkt. 
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e Fiskalisches Tätigwerden der Verwaltung, insbesondere im Rahmen 
der Beschaffung („E-Procurement‘“), 


e Tätigkeiten, die kein eigenes Aufgabenfeld darstellen, sondern akzes- 
sorisch zu (verschiedenen) Aufgaben sind: insbesondere Zahlverfahren 
und Akteneinsichtsverfahren. 


Im Rahmen des hier zur Verfügung stehenden Umfangs können nur die 
Bereiche E-Voting, Zugriff auf Register, echte Verwaltungsverfahren, sons- 
tige Leistungen und E-Procurement exemplarisch untersucht werden. Die 
dabei zu Tage tretenden Grundstrukturen lassen sich allerdings auf die 
übrigen Bereiche übertragen. Die Prüfung der Einsetzbarkeit von Anony- 
mität und Pseudonymität orientiert sich zum einen an den bestehenden 
Rechtsvorschriften. Zum anderen wird überlegt, welche funktionalen 
Grenzen zu beachten sind, wenn bestehendes Recht geändert werden 
sollte. 


Anonymität und Pseudonymität 


Anonymität 


In $ 2 Abs. 2 Nr. 6 LDSG SH wird das Anonymisieren definiert als das Ver- 
ändern personenbezogener Daten derart, dass die Einzelangaben über 
persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem 
unverhältnismäßigen Aufwand einer bestimmten oder bestimmbaren na- 
türlichen Person zugeordnet werden können. Das Ergebnis dieses Vor- 
gangs sind demnach anonyme Daten. Sie zeichnen sich dadurch aus, dass 
sie zwar Einzelangaben zu einer bestimmten oder bestimmbare natürlichen 
Person darstellen, dieser aber von niemandem außer der Person selbst 
zugeordnet werden können, soweit kein unverhältnismäßiger Aufwand 
betrieben wird. Diese Daten werden von den Datenschutzgesetzen nicht 
mehr als personenbezogen angesehen. Anonymität bezeichnet den Zu- 
stand des Vorliegens solcher anonymer Daten. 


Pseudonymität 


Nach $ 2 Abs. 2 Nr. 7 LDSG SH ist Pseudonymisieren das Verändern per- 
sonenbezogener Daten derart, dass die Einzelangaben über persönliche 
oder sachliche Verhältnisse ohne Nutzung der Zuordnungsfunktion nicht 
oder nur mit einem unverhältnismäßigen Aufwand einer bestimmten oder 
bestimmbaren natürlichen Person zugeordnet werden können.’ Daten, für 


5 Ähnlich auch $ 3 Abs. 6 BDSG. 


6 Rechtstechnisch handelt es sich um eine Fiktion, da rein tatsächlich nicht vollständig ausge- 
schlossen ist, dass jemand den unverhältnismäßigen Aufwand betreibt und die Zuordnung zu 
dem Betroffenen im Nachhinein vornimmt. Vgl. dazu im Einzelnen: Gundermann, FN 2, S. 
144 f. und Roßnagel/Scholz, FN 2, S. 723 f. 


7 Die Definition des BDSG in $ 2 Abs. 6a ist weniger klar, da sie auf ein willensmäßiges 
Element abstellt, aber von dessen Verwirklichung absieht. 
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die dies zutrifft sind pseudonyme Daten. Sie unterscheiden sich von den 
anonymen dadurch, dass eine Zuordnungsfunktion existiert, die es unter 
Umgehung des unverhältnismäßigen Aufwandes ermöglicht, die Zuord- 
nung zu der bestimmten Person vorzunehmen. Es ist leicht erkennbar, 
dass es sich dabei für die Stellen, die über die Zuordnungsfunktion verfü- 
gen, um personenbezogene Daten im Sinne der Datenschutzgesetze han- 
delt. Zur Datenvermeidung im datenschutzrechtlichen Sinne tragen daher 
nur pseudonyme Verfahren bei, bei denen die Stelle, die mit den Pseudo- 
nymen umgeht, keinen Zugriff auf die Zuordnungsfunktion hat. Im Fol- 
genden bedeutet Pseudonymität daher den Zustand, in dem die mit den 
Pseudonymträger kommunizierende Verwaltung keinen Zugriff auf die 
Zuordnungsfunktion hat. 


Online-Wahlen (E-Voting) 


Schon seit einiger Zeit wird für den Bereich der Wahlen gefordert, ver- 
sprochen oder vorhergesagt, dass eine elektronische Stimmabgabe über 
das Internet in Kürze möglich sei. Bei einigen „weniger wichtigen“ Wahlen 
wurden bereits testweise solche sog. E-Voting-Verfahren angewendet.? 
Allerdings hat sich dabei auch gezeigt, dass eine flächendeckende Einfüh- 
rung von Online-Wahlen bei Parlamentswahlen auf Bundes-, Landes- oder 
kommunaler Ebene noch einige Zeit auf sich warten lassen wird.!" 


Vorbereitende Phase 


Gerade demokratische Wahlen scheinen ein idealer Einsatzbereich für 
pseudonyme oder anonyme Verfahren zu sein. Schließlich gilt der Grund- 
satz der geheimen Wahl, der impliziert, dass die Stimmabgabe nicht einer 
bestimmten Person zugeordnet werden dar f. Vor der Stimmabgabe selbst 
kommen allerdings noch andere Verfahrensschritte zum Tragen. Art. 38 
Abs. 2 GG und §§ 12 und 13 BWG Bundeswahlgesetz (BWG) legen fest, 
wer wahlberechtigt ist. Dieses Recht knüpft an einen bestimmten Status als 
Bürger der Bundesrepublik Deutschland an. Es handelt sich um ein 
höchstpersönliches Recht, das nicht übertragbar ist. Daher muss vor der 
Stimmabgabe die Identität geprüft werden. 


Wer nicht in seinem heimatlichen Wahllokal wählen will, benötigt einen 
Wahlschein. Dieser berechtigt dazu, in einem anderen Wahllokal des 


8 Dazu: Gundermann, FN 2, S. 146 f. und Roßnagel/Scholz, FN 2, S. 724 f. 


9 Z.B. bei der Wahl des Personalrats des Landesbetriebs für Datenverarbeitung und Statistik 
des Landes Brandenburg 

(http://www.brandenburg.de/evoting/) oder bei der Wahl zum Jugendgemeinderat der G e- 
meinde Esslingen, vgl. Heise Online vom 05.09.2001 
(http://www.heise.de/newsticker/data/cgl-05.09.01-001/). 


10 Vgl. den Bericht bei Heise Online vom 17.01.2002 
(http://www.heise.de/newsticker/data/wst-17.01.02-003/), wonach selbst einer der zuvor 
stärksten Befürworter von Online-Wahlen sich mittlerweile skeptischer äußert. 
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Wahlkreises seine Stimme abzugeben oder per Briefwahl abzustimmen 
($14 Abs. 3 BWG). Da das Wahlrecht also nur einer bestimmten Person 
zusteht, sieht die zur Ausführung des BWG erlassene Bundeswahlordnung 
(BWO) vor, dass die Aushändigung des Wahlscheins und der Briefwahlun- 
terlagen in der Regel nur an den Wahlberechtigten selbst und nach einer 
ordnungsgemäßen Identitätsprüfung erfolgen dar f. Ausnahmen werden 
nur zugelassen, wenn der Wahlberechtigte kurzfristig erkrankt ist und eine 
Zusendung der Unterlagen an ihn per Post aus Zeitgründen nicht mehr 
möglich ist ($ 28 Abs. 4 BWO). Es muss also jedenfalls in dieser Phase der 
Wahl eine Prüfung der Identität vorgenommen werden. 


Exkurs: Online-Wahlschein ohne belastbare Authentisierung? 


Der Verordnungsgeber der BWO ging bis zu einer Änderung der Vorschrift 
im Jahr 2002 davon aus, dass die Wahlscheinunterlagen schriftlich oder 
mündlich (also durch persönliche Vorsprache) bei der Gemeindebehörde 
beantragt werden können. Die Beantragung der Unterlagen per Tele- 
gramm, Fernschreiben oder Fernkopie galt als die Schriftform wahrend. 
Genau an dieser Stelle setzte eine Initiative zur Einführung von E-Govern- 
ment an, die zunächst für die beteiligten Fachleute überraschend kam. 
Durch die Siebente Verordnung zur Änderung der Bundeswahlordnung 
vom 12. Februar 2002 wurde eine Änderung in $ 27 Abs. 1 aufgenommen, 
wonach nun auch die Beantragung per E-Mail als schriftformwahrend an- 
erkannt wird. Bemerkenswert ist diese Änderung zum einen deshalb, weil 
anders als bei der ebenfalls im Jahr 2002 im Verwaltungsverfahrensgesetz 
vorgenommenen Änderung!! die Wirksamkeit der Schriftformersetzung 
durch E-Mail nicht davon abhängig gemacht wurde, dass die E-Mail mit 
einer qualifizierten elektronischen Signatur versehen ist. Damit wurde dar- 
auf verzichtet, eine hinreichend sichere Methode der Feststellung der Iden- 
tität der Antragsteller vorzuschreiben. 


Hintergrund der Änderung war offenbar, dass den Bürgern die Beantra- 
gung der Wahlunterlagen erleichtert und damit möglicherweise die Beteili- 
gung an der Bundestagswahl verbessert werden sollte. Allerdings wurde 
dabei nicht bedacht, dass der Verzicht auf das Erfordernis der elektroni- 
schen Signatur folgendes Angriffsszenario mit sich brachte: Bekanntlich ist 
es ein Leichtes, einen E-Mail-Absender zu fälschen. Dafür ist es nur erfor- 
derlich, einen Mail-Client mit fremden Daten zu konfigurieren. Es hätten 
demnach bei den Gemeinden E-Mails eingehen können, die um Zusen- 
dung der Wahlunterlagen an eine andere als die gemeldete Wohnadresse 
nachsuchten, z.B. für eine (möglicherweise zudem noch im Öffentlichen 
Leben bekannte) Person aus Norddeutschland an eine Ferienhaussiedlung 
in Bayern. Nach dem Wortlaut des Gesetzes hätte diesen Anträgen ohne 
weitere Prüfung entsprochen werden müssen; wie in den Vorschriften 
vorgesehen, wäre in die Wählerliste ein „W“ als Kennzeichnung dafür 


11 Dazu sogleich unter 5. 
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eingetragen worden, dass der Wahlschein bereits beantragt worden war. 
Hätte diese Person dann am Tag der Wahl im Wahllokal die Aushändigung 
der Wahlunterlagen verlangt, wäre sie vermutlich zurückgewiesen worden. 
Auf diesem Wege hätten böswillig Wahlberechtigte von der Wahl ausge- 
schlossen werden können. 


Der Bundeswahlleiter und die Landeswahlleiter sind allerdings rechtzeitig 
vor der Bundestagswahl 2002 auf dieses Problem aufmerksam geworden. 
Bestimmte Vorgaben an die örtlichen Wahlleiter sollten verhindern, dass es 
zu dem beschriebenen Angriff kommt. So sollte (vorsichtig gesagt: extra 
legem) die Identität solcher Antragsteller festgestellt werden, von denen 
per E-Mail ein Antrag auf Zusendung der Wahlunterlagen eingeht. Zudem 
sollte dann, wenn die Zusendung der Wahlunterlagen an eine andere als 
die Meldeadresse verlangt wird, zusätzlich an die Meldeadresse eine 
schriftliche Mitteilung darüber erfolgen, dass die Unterlagen an eine ab- 
weichende Anschrift versandt wurden. 


Das Beispiel zeigt zweierlei: Zum einen ist in der ersten Phase der demo- 
kratischen Wahl eine Identitätsprüfung unabdingbar. Zum anderen bedarf 
die Einführung von vermeintlichen Erleichterungen in behördlichen Ver- 
fahren durch die Implementierung von sog. E-Government-Elementen 
einer sehr genauen vorherigen Analyse, um nicht neue Probleme zu schaf- 
fen. 


Phase der Stimmabgabe 


Hier gebietet der Grundsatz der geheimen Wahl, dass eine konkrete 
Stimmabgabe nicht einer bestimmten Person zugeordnet werden können 
dar f. Zwar gilt dieser Grundsatz prinzipiell auch schon im Vorfeld der 
eigentlichen Stimmabgabe. Dabei sind aber bestimmte Beschränkungen 
unvermeidlich, um andere Wahlgrundsätze zu wahren. Die Gleichheit der 
Wahl ist nur sichergestellt, wenn ausgeschlossen werden kann, dass ein 
Wahlberechtigter seine Stimme mehrfach abgibt. Um dies zu verhindern 
ordnet $ 58 BWO an, dass der Schriftführer beim eigentlichen Wahlvorgang 
einen Vermerk über die Tatsache der Stimmabgabe im Wählerverzeichnis 
neben dem Namen des Wahlberechtigten anbringt. Insoweit wird das 
Wahlgeheimnis offensichtlich eingeschränkt. 


An dieser Stelle könnten Verfahren der Pseudonymität einen sinnvollen 
Einsatz finden. So werden aus technischer Sicht bestimmte Verfahren dis- 
kutiert, die es ermöglichen, dass ein in der ersten Phase der Wahl identifi- 
zierter Wahlberechtigter seine Stimme elektronisch abgibt, ohne dass der 
Inhalt seiner Stimmabgabe erkennbar werden kann. Weiterhin ist die elekt- 
ronische Stimmabgabe dann auch nur genau einmal möglich.!?2 Damit 
könnte eine bessere Umsetzung des Wahlgeheimnisses erreicht werden, 
weil anders als zurzeit nicht festgestellt werden müsste, welcher Wahlbe- 
rechtigte seine Stimme tatsächlich abgegeben hat. Stattdessen würde z.B. 


12 Zu den Einzelheiten aus technischer Sicht vgl. Ullmann/Koob/Kelter, DuD 2001, S. 643 ff. 
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nur anhand einer Liste von für die Wahl vergebenen Signaturen geprüft, 
ob diese bereits verwendet wurden. Nach der obigen Definition würde ein 
solches Verfahren als pseudonym angesehen werden, da es eine Art Refe- 
renzliste für die Stimmberechtigten gibt (obwohl im Nachhinein ein Zu- 
sammenhang nicht hergestellt werden kann). 


Öffentliche Register 


Bei öffentlichen Registern lassen sich zwei Typen unterscheiden. Es gibt 
solche, zu denen Zugang nur unter bestimmten Bedingungen gewährt 
wird und solche mit unbeschränktem Zugang. 


Zugang unter bestimmten Voraussetzungen 


Der Zugang zu diesen beschränkt Öffentlichen Registern könnte auch ano- 
nym oder pseudonym ermöglicht werden, wenn dabei die jeweiligen An- 
forderungen erfüllt werden. Dazu gehört in der Regel mindestens zweier- 
lei: Das Vorliegen der Zugangsvoraussetzungen muss prüfbar sein und es 
muss möglich sein, die Zugriffe auf das Register zu protokollieren. 


Ein Beispiel stellt die Einsicht in das Grundbuch dar. Voraussetzung dafür 
ist, dass ein berechtigtes Interesse vorliegt ($ 12 Abs. 1 Grundbuchordnung 
[GBO]). Dieses wird bei Angehörigen bestimmter Berufsgruppen wie z.B. 
bei Notaren unterstellt ($ 43 Grundbuchverfügung [GBV]). Außerdem se- 
hen die Vorschriften vor, dass die Abrufe protokolliert werden. Nach $ 133 
Abs. 1 GBO ist es eine Zulässigkeitsvoraussetzung für automatisierte Ab- 
rufverfahren aus dem elektronischen Grundbuch, dass „sichergestellt ist, 
dass die Zulässigkeit der Abrufe auf der Grundlage einer Protokollierung 
kontrolliert werden kann.“ 


Bereits die Prüfung, ob ein berechtigtes Interesse im Sinne von $ 12 Abs. 1 
GBO vorliegt,!3 lässt sich in der Regel ohne Aufdecken der Identität nur 
schwer vorstellen. Denn das berechtigte Interesse im Sinne der Norm wird 
nicht losgelöst von dem Bezug zum Grundstück bestimmt.!* Daher genügt 
anders als im dritten Abschnitt des BDSG nicht jedes von der Rechtsord- 
nung gebilligte, insbesondere auch wirtschaftliche Interesse. Vielmehr 
muss gerade ein Bezug zum Grundstück beim Einsichtsinteressenten vor- 
liegen. Dies lässt sich kaum feststellen, wenn der Einsichtswillige unter 
einem Pseudonym auftritt. Zwar wäre es noch denkbar, dass jemand seine 
primären Identitätsdaten wie Namen, Anschrift, etc. verschweigt bzw. statt- 
dessen ein Pseudonym angibt und nur die Fakten offen legt, die hinsicht- 


13 Der Vollständigkeit halber sei erwähnt, dass die Vorschriften bei automatisierten Abrufen 
aus dem maschinell geführten Grundbuch ohnehin keine Einzelprüfung des berechtigten 
Interesses vorsehen. Zum automatisierten Abruf werden vielmehr nur die Personen oder 
Stellen zugelassen, die auch ohne das Vorliegen eines berechtigten Interesses Einsicht neh- 
men können. Die folgenden Ausführungen zum berechtigten Interesse sind allerdings geeig- 
net, das grundsätzliche Problem zu verdeutlichen. 


14 7 B. BVerfG, AfP 2000, S. 566 f. 
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lich des $ 12 GBO von Bedeutung sind. Allerdings werden dabei oft In- 
formationen anfallen, die es ermöglichen, auf die Person des Einsichtswil- 
ligen zurückzuschließen. Damit würde aber im Sinne der Datenschutzge- 
setze kein Pseudonym vorliegen, sondern ein personenbeziehbares Datum. 


Im Beispiel des Grundbuches könnte man allerdings für die Fallvariante an 
der Möglichkeit eines Pseudonyms festhalten, in der nach $ 43 GBV Ange- 
hörigen bestimmter Berufsgruppen der Zugang zum Grundbuch erlaubt 
wird, ohne dass ein berechtigtes Interesse vorliegen muss. Zu denken 
wäre hier konkret an ein qualifiziertes Signaturzertifikat im Sinne von $ 7 
Signaturgesetz (SigG). Ein solches Zertifikat kann nach $ 5 Abs. 3 SigG 
bekanntlich auch anstatt auf den wirklichen Namen des Inhabers auf ein 
Pseudonym ausgestellt werden. Gleichzeitig kann in dasselbe Zertifikat 
oder ein dazu ausgestelltes Attributzertifikat die Notareigenschaft des Inha- 
bers aufgenommen werden ($ 7 Abs. 1 Nr. 9 und Abs. 2 SigG).!? 


Das pseudonyme Auftreten gegenüber dem Grundbuchamt wird aber letzt- 
lich durch die Vorgaben zur Protokollierung unmöglich. Wie schon oben 
dargelegt, geht die GBO davon aus, dass ein Protokoll über alle Abrufe 
geführt wird, welches mindestens ein Jahr aufzuheben ist. Nach dem Da- 
tenabruf im automatisierten Verfahren aus dem Grundbuch kontrolliert die 
jeweils zuständige Datenschutzkontrollinstanz den weiteren Umgang mit 
den Daten bei dem Empfänger (vgl. $ 133 Abs. 5 Satz 1 GBO). Diesem ist 
nicht freigestellt, in welcher Weise er die Daten verwendet. Vielmehr ent- 
hält $ 133 Abs. 6 GBO eine strenge Zweckbindung auf die Zwecke der 
Übermittlung. Die datenschutzrechtliche Kontrolle lässt sich nicht ausüben, 
wenn nicht bekannt ist, wer der Empfänger der Daten ist. 


Weiterhin muss dem Eigentümer des Grundstücks oder dem Inhaber eines 
grundstücksgleichen Rechts jederzeit Auskunft aus dem Protokoll der Ab- 
rufe gegeben werden. Dieser Anspruch des Eigentümers soll ihn in die 
Lage versetzen nachvollziehen zu können, an welche Stellen Daten über 
sein Grundstück geflossen sind. Damit wird letztlich das Grundrecht auf 
informationelle Selbstbestimmung umgesetzt. Die Auskunft kann diesen 
Zweck aber offenkundig nur erfüllen, wenn für den Betroffenen klar ist, 
an wen die Information gelangte. Mit Pseudonymen ohne Personenbezug 
kann dies nicht realisiert werden. 


Das hier gezeigte Beispiel zeichnet sich sicher dadurch aus, dass die Vor- 
gaben wie im Grundbuchrecht üblich sehr detailfreudig geregelt sind. Aber 
die grundsätzlichen Probleme gelten auch für andere beschränkt öffentli- 


che Register: Die Voraussetzungen müssen prüfbar sein und eine Proto- 


kollierung der Abrufe ist regelmäßig nicht nur wegen entsprechender spe- 


15 Allerdings wäre in der Praxis eine weitere Hürde zu nehmen: Die Notarkammer hätte der 
Verwendung des Pseudonyms anstelle des Namens zuzustimmen, wenn auch die Notar- 
eigenschaft in das Zertifikat aufgenommen werden sollten, vgl. $ 5 Abs. 3 Satz 2 SigG. An 
dieser Stelle soll nicht weiter darauf eingegangen werden, ob der pseudonyme Auftritt über- 
haupt mit den Standespflichten eines Notars vereinbar wäre. 
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4.2 


zialgesetzlicher Regelung erforderlich. Auch die allgemeinen datenschutz- 
rechtlichen Standards verlangen, dass nachvollziehbar bleibt, an welche 
Stellen die Daten übermittelt wurden. Es zeigt sich also, dass der Zugang 
zu beschränkt öffentlichen Registern nicht unter Pseudonym und schon gar 
nicht anonym realisiert werden kann. 


Unbeschränkt öffentliche Register 


Anders sieht die Lage freilich bei den Registern der Verwaltung aus, für die 
keine Zugangsbeschränkungen bestehen. Als Beispiel hierfür soll das 
kommunale Melderegister dienen. Schon jetzt kann jedermann daraus 
Auskunft über Vor- und Familiennamen, Doktorgrad und Anschriften ein- 
zelner Einwohner verlangen und erhält diese auch, wenn keine Auskunfts- 
sperre eingetragen ist. Nach der im Jahr 2002 vorgenommenen Änderung 
im Melderechtsrahmengesetz (MRRG)!® wird auch die Online- 
Melderegisterauskunft zulässig (vgl. $ 21 Abs. 1a MRRG). Die Erteilung der 
Auskunft ist an keinerlei Voraussetzungen in der Person des Informations- 
suchenden geknüpft. Daher spielt auch die Identität des Antragstellers 
keine Rolle. Die Abrufe können also, soweit auf der Seite der Meldebe- 
hörde die vorgegebene technische Infrastruktur installiert ist, ohne irgend- 
eine Authentisierung des Abrufenden vor sich gehen. Damit wäre der Ab- 
ruf aus öffentlichen Registern ein Fall für echte Anonymität. 


Allerdings wird das Bild etwas dadurch getrübt, dass das Verwaltungspro- 
dukt „Melderegisterauskunft“ nicht unentgeltlich angeboten wird. Vielmehr 
verlangen die Kommunen hierfür regelmäßig ein maßvolles Entgelt. In 
Schleswig-Holstein sind dies nach dem Gebührentarif zur Landesverord- 
nung über Verwaltungsgebühren, Tarifstelle 5.1.2.1, derzeit vier Euro pro 
Auskunft. Auch nach der im Land noch ausstehenden Umsetzung des 
Rahmenrechts in das Landesrecht wird für automatisierte Online-Auskünfte 
mit Sicherheit weiter eine Gebühr erhoben werden.!? Daher muss zusätz- 
lich noch das Problem gelöst werden, dass eine anonyme oder pseudo- 
nyme Zahlungsmöglichkeit eingerichtet wird. Im Rahmen des vorliegenden 
Beitrags kann das Thema der anonymen oder pseudonymen Zahlungs- 
methoden im Netz nicht weiter vertieft werden. 


16 Gesetz zur Änderung des Melderechtsrahmengesetzes und anderer Gesetze vom 25. März 
2002, BGBl. I, S. 1186, in Kraft getreten mit der Verkündung am 03. April 2002. 


17 Die dann allerdings möglicherweise geringer ausfällt, da für die einzelne Auskunft weniger 
Aufwand zu leisten ist. 
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Echte Verwaltungsverfahren 


Zu den nach wie vor wichtigsten „Verwaltungsprodukten“ gehört der Er- 
lass von Verwaltungsakten.!® Dieser erfolgt in einem Verwaltungsverfahren 
im Sinne von $ 9 Verwaltungsverfahrensgesetz (VwVfG).1? Der Bürger ist 
in diesem Verfahren in seiner Stellung als Antragsteller oder potentieller 
Adressat von Verwaltungsakten oder Drittbetroffener Beteiligter an dem 
Verfahren ($ 13 VwVfG). Es stellt sich hier die Frage, ob ein Bürger, der 
ausschließlich unter Pseudonym auftritt, überhaupt Beteiligter im Sinne der 
Vorschrift sein kann. In $ 11 VwVfG findet sich lediglich die Festlegung, 
dass unter Anderem natürliche Personen Beteiligte am Verwaltungsverfah- 
ren sein können. Durch diese Vorschrift wird grundsätzlich nicht ausge- 
schlossen, dass eine natürliche Person unter einem Pseudonym auftritt. 
Wollte der unter Pseudonym Auftretende selbst Verfahrenshandlungen 
vornehmen und z.B. ohne Hinzuziehung eines Vertreters einen Antrag 
stellen, so muss weiterhin Handlungsfähigkeit gegeben sein. Dies ist nach 
$ 12 Abs. 1 Nr. 1 VwVfG der Fall, wenn der Beteiligte geschäftsfähig und 
mithin volljährig ist. Aber auch Minderjährige über sieben Jahren, die nach 
dem bürgerlichen Recht beschränkt geschäftsfähig sind ($ 106 BGB), kön- 
nen nach Maßgabe des fachspezifischen Verwaltungsrechts in Verbindung 
mit $ 12 Abs. 1 Nr. 2 VwVfG handlungsfähig sein.2? Eine Behörde, bei der 
ein Antrag unter Pseudonym gestellt wird, könnte am Vorliegen der Voll- 
jährigkeit bzw. des für das jeweilige Verfahren maßgeblichen Alters zwei- 
feln.2! Dem könnte der Bürger dadurch entgegentreten, dass er mit einem 
qualifizierten Signaturzertifikat auftritt, in dem als Attribut auch das Ge- 
burtsdatum aufgenommen wurde.2? 


18 Nur nebenbei sei angemerkt, dass die häufig bemühte sprachlichen Analogie zwischen 
Wirtschaft und Verwaltung spätestens bei belastenden Verwaltungsakten ad absurdum geführt 
wird. Die ordnungsbehördliche Verfügung, das Erdreich eines kontaminierten Grundstücks 
auszutauschen, wird vom Adressaten kaum als Produkt verstanden werden. Entsprechendes 
gilt für Beischeide, die eine Zahlungspflicht begründen, wie z.B. Erschließungsbeitragsbe- 
scheide. 


19 Zitiert wird im folgendes das VwVfG als Bundesgesetz. $ 9 hat folgenden Wortlaut: „Das 
Verwaltungsverfahren im Sinne dieses Gesetzes ist die nach außen wirkende Tätigkeit der 
Behörden, die auf die Prüfung der Voraussetzungen, die Vorbereitung und den Erlaß eines 
Verwaltungsaktes oder auf den Abschluß eines öffentlich-rechtlichen Vertrages gerichtet ist; 
es schließt den Erlaß des Verwaltungsaktes oder den Abschluß des öffentlich -rechtlichen 
Vertrages ein.“ Die entsprechenden Landesgesetze haben den gleichen oder einen ähnlichen 
Wortlaut. 


20 So können z.B. nach $ 5 SGB I ab dem 15. Lebensjahr Sozialleistungen beantragt werden. 
Weitere Beispiele: Bonk, in: Stelkens/Bonk/Sachs, Verwaltungsverfahrensgesetz, Kommentar, 
5. Aufl. 1998, Rn. 11 zu $ 12. 


21 Das Vorliegen der Handlungsfähigkeit ist in jeder Verfahrenslage von Amts wegen zu 
prüfen, Vgl. Bonk, FN 20, Rn. 3 zu $ 12. 


22 Vgl. dazu oben unter 4.1. 
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Zu den eher formalen Vorgaben gehört auch $ 37 VwVfG, der die min- 
destens einzuhaltenden Formerfordernisse für den Verwaltungsakt regelt.2? 
Zu den Anforderungen an die Bestimmtheit des Verwaltungsaktes gehört, 
dass der Adressat eindeutig angegeben werden muss, so dass seine Identi- 
tät zweifelsfrei bestimmt werden kann und Verwechslungen ausscheiden. 
Gelingt dies nicht, droht sogar die Nichtigkeit des Verwaltungsaktes. 24 
Allerdings ist es nicht erforderlich, dass der Verwaltungsakt an die primä- 
ren Identitätsdaten des Betroffenen (wirklicher Name, Adresse) gerichtet 
ist. Kann die eindeutige Zuordnung zum richtigen Empfänger auch anders 
bewerkstelligt werden, so spricht nichts dagegen, als Adressaten ein Pseu- 
donym anzugeben.” Grundsätzlich dürfte durch qualifizierte Signatur- 
zertifikate, die auf ein Pseudonym ausgestellt wurden, die eindeutige Ad- 
ressierung sichergestellt sein. Dies gilt jedenfalls, wenn der normative An- 
spruch entscheidend wäre, da ja nach $ 7 Abs. 1 Nr. 1 SigG ein „unver- 
wechselbares“ Pseudonym gewählt werden musste.2° Auch der Grundsatz 
der Bestimmtheit des Adressaten spricht demnach nicht gegen die Ver- 
wendung von Pseudonymen im Verwaltungsverfahren. 


Maßgeblich für die Zulässigkeit der Verwendung von Pseudonymen dürfte 
sein, ob die durch die Vorschriften des VwVfG vorgegebene Funktionalität 
des Verwaltungsverfahrens weiterhin sichergestellt werden kann, wenn ein 
Bürger unter Pseudonym handelt. Die entscheidende Hürde stellt der Un- 
tersuchungsgrundsatz auf, der in $ 24 VwVfG niedergelegt ist.?” Danach 
hat die Behörde die für den zu entscheidenden Fall relevanten Umstände 
von Amts wegen zu ermitteln. Die dabei genutzten Beweismittel werden 
nach pflichtgemäßem Ermessen ausgewählt. Insbesondere gehören dazu 
nach $ 26 VwVfG die Einholung von Auskünften jeder Art, die Anhörung 
von Zeugen und Sachverständigen, die Beiziehung von Urkunden und 
Akten sowie die Inaugenscheinnahme. Schon vordergründig wird deutlich, 
dass sich all dies ernsthaft kaum realisieren lässt, wenn die Behörde die 
Identität des Beteiligten nicht kennt. Die Ermittlungen erfolgen in einem 
bestimmten Fall, z.B. über die konkrete Gefahr, die von einer bestimmten 
Bodenverunreinigung herrührt. Dabei muss, um den richtigen Adressaten 
eines Verwaltungsaktes festzustellen, eine Vielzahl von Details geprüft 


23 Stelkens, in Stelkens/Bonk/Sachs, FN 20, Rn. 1 zu $ 37. 
24 Stelkens, Fn., Rn. 15 zu $ 37. 
25 So ausdrücklich Stelkens, FN 20. 


26 Noch dürfte freilich offen sein, wie für sämtliche Zertifizierungsstellen übergreifend sicher- 
gestellt werden soll, dass Verwechslungen ausgeschlossen sind. Dieses Problem ist übrigens 
auch für namentlich ausgestellte Zertifikate bisher ungelöst, vgl. Bertsch/Fleisch/Michels, DuD 
2002, S. 69, 73. 


27 Die entscheidenden Absätze 1 und 2 haben folgenden Wortlaut: 


(1) Die Behörde ermittelt den Sachverhalt von Amts wegen. Sie bestimmt Art und Umfang der 
Ermittlungen; an das Vorbringen und an die Beweisanträge der Beteiligten ist sie nicht ge- 
bunden. 

(2) Die Behörde hat alle für den Einzelfall bedeutsamen, auch die für die Beteiligten günsti- 
gen Umstände zu berücksichtigen. 
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werden, z.B. die Historie der Liegenschaft, Umstände, die für ein etwaiges 
Verschulden sprechen, etc. 


Abstrakter gesagt verlangen insbesondere die §§ 24 und 26 VwVfG, dass 
die Behörde sich ein Bild von den für das Verwaltungsverfahren relevan- 
ten Umständen macht. Dazu muss sie möglichst alle relevanten Informati- 
onen aus der Lebenswelt des Beteiligten aufnehmen und bewerten. Damit 
wäre es nicht zu vereinbaren, wenn der Beteiligte a priori eine Beschrän- 
kung der Informationen vornimmt, wie es der Auftritt unter einem nicht 
personenbezogenen Pseudonym darstellt. 


Nun ließe sich einwenden, dass die vorstehende Überlegung für das hier 
gewählte Beispiel aus dem Bereich der Gefahrenabwehr gelte, sich aber 
nicht auf alle Verwaltungsverfahren verallgemeinern ließe. Gerade bei 
vielen auf Antrag des Beteiligten begonnen Verfahren komme es in der 
Praxis nicht zu einer Informationsbeschaffung über die Auswertung des 
Antrags hinaus. Dazu ist zu sagen, dass der oben vorgebrachte Einwand 
jedenfalls für alle Verfahren gilt, in denen der Untersuchungsgrundsatz 
nach $ 24 VwVfG oder vergleichbaren Vorschriften zu Anwendung kommt. 
Auf der Grundlage des geltenden Rechts kann er daher nicht umgangen 
werden. Um ihn auszuhebeln, müsste in künftigen Rechtsvorschriften eine 
entsprechende Einschränkung des Untersuchungsgrundsatzes vorgenom- 
men werden. 


Allerdings zeigen sich noch weitere Probleme bei der Verwendung von 
Pseudonymen. Zum einen spielt das Verwaltungsverfahren im Sinne des $ 
9 VwVfG nicht in einem hermetischen Raum ohne Anschluss an die „Le- 
benswirklichkeit“ der Beteiligten. Stellt das Verwaltungsverfahren selbst 
noch ein rechtlich determiniertes Verfahren zu Informationsverarbeitung 
dar, an dessen Ende die Generierung einer neuen Information (Verwal- 
tungsakt) steht, so gibt es dabei doch eine entscheidende Anbindung an 
die Welt der materiellen Güter: die Möglichkeit der Verwaltungsvollstre- 
ckung. Bei Geldforderungen stehen als Mittel vor Allem die Pfändung von 
Sachen oder Forderungen sowie die Zwangsversteigerung von Grundstü- 
cken zur Verfügung. Soll eine Handlung, Duldung oder Unterlassung 
durchgesetzt werden, stehen die Ersatzvornahme auf Kosten des Pflichti- 
gen, die Verhängung von Zwangsgeld und der unmittelbare Zwang zur 
Auswahl. Nun ließe sich einwenden, dass alle Maßnahmen, die nicht zu 
einem physischen Kontakt mit dem Vollstreckungsschuldner führten, son- 
dern lediglich in der Sphäre von finanziellen Transaktionen spielen, den 
Bereich der Informationserzeugung nicht verließen. Für das Ausbringen 
eines Zwangsgeldes oder einer Forderungspfändung benötigt die Verwal- 
tung möglicherweise tatsächlich nicht die Kenntnis der Identität; mit einem 
ausgefeilten Management der Pseudonyme ließe sich theoretisch sicher- 
stellen, dass der richtige Adressat den Maßnahmen unterworfen würde.2® 
Anders stellt sich die Lage allerdings bei der Pfändung von beweglichen 


28 Dazu sogleich mehr. 
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Sachen des Schuldners und vor allem bei der Anwendung unmittelbaren 
Zwangs dar. Hier ist der Durchgriff auf die Identität des Betroffenen unab- 
dingbar. 


Zwar besteht bei qualifizierten Signaturzertifikaten, die auf Pseudonyme 
ausgestellt wurden, nach $ 14 Abs. 2 SigG die Möglichkeit, vom Zertifizie- 
rungsdiensteanbieter unter bestimmten Umständen die Identität des Zerti- 
fikatsinhabers zu erfahren. Dabei sind bestimmte Öffentliche Aufgaben 
bzw. Behörden sogar privilegiert, da sie unter erleichterten Voraussetzung 
die Aufdeckung der Identität verlangen können. Dies gilt, soweit es für 
„die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr 
von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die 
Erfüllung der gesetzlichen Aufgaben der (Geheimdienste) oder der Finanz- 
behörden“ erforderlich ist. Da die Verwaltungsvollstreckung hier nicht 
genannt ist, käme insoweit allerdings nur die zweite Variante in Betracht, 
wonach die Identität aufgedeckt wird, „soweit Gerichte dies im Rahmen 
anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen 
anordnen“. Es kann hier offen bleiben, was mit den „hierfür geltenden 
Bestimmungen“ gemeint ist. Es wäre wohl schon mit den Vorschriften zur 
Verwaltungsvollstreckung nicht vereinbar, wenn — außerhalb der hier an- 
sonsten geltenden speziellen Regelungen - noch ein weiteres gerichtliches 
Verfahren zwischengeschaltet werden müsste. Auch dieses Argument be- 
ruht aber erkennbar „nur“ auf dem geltenden Recht und könnte de lege 
ferenda? geändert werden. 


Ein weiteres Problem, das sich wohl durch eine Rechtsänderung nicht aus 
der Welt schaffen ließe, wird vor allem im Zusammenhang mit begünsti- 
genden Verwaltungsakten auftreten: Wer einmal etwas Gutes von der Öf- 
fentlichen Hand erhalten hat, könnte daran Geschmack gefunden haben 
und versuchen, erneut in den Genuss der Leistung zu kommen, obwohl 
sie ihm nur einmal (pro Zeiteinheit) zusteht. Es muss also möglich sein das 
auszuschließen, was in den USA als double dipping bezeichnet wird. Dies 
führt nicht zum vollständigen Ausschluss des Einsatzes von Pseudonymen. 
Allerdings müssten die Pseudonyme (bzw. ihre Verwaltung) bestimmte 
Voraussetzungen erfüllen, um die Vorgaben umsetzen zu können. An die- 
ser Stelle sollen auch die Überlegungen wieder aufgenommen werden, ob 
nicht eine pseudonyme Vollstreckung wenigstens dann möglich sein müss- 
te, wenn es nicht zu einem Durchgriff in die Lebenswelt des Betroffenen 
oder sogar auf seine Physis kommt. Erforderlich wäre in beiden Fällen, 
dass es eine Verknüpfungsmöglichkeit zwischen verschiedenen Bereichen 
des Einsatzes von Pseudonymen gibt. Dies bedeutet nicht not- 
wendigerweise, dass in allen Bereichen (also z.B. gegenüber einer Be- 
hörde und gegenüber der Bank) dasselbe Pseudonym eingesetzt wird. Bei 
Verwendung unterschiedlicher Pseudonyme müsste allerdings sicherge- 
stellt sein, dass Dritte die Möglichkeit haben, die Pseudonyme zu ver- 


29 Also durch Schaffung einer geänderten Rechtslage. 
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knüpfen. Dies gilt z. B. für die Behörde, die in ein Bankkonto vollstrecken 
will, oder die prüfen muss, ob die hinter dem Pseudonym stehenden Per- 
son bereits die Leistung erhalten hat. 


Im Laufe der bisherigen Überlegungen sind wir auf einige Schwierigkeiten 
bei der Verwendung von Pseudonymen gestoßen. Die Stellen, die die 
gegenüber den Behörden verwendeten Pseudonyme verwalten, sollten 
bestimmte Attribute wie Zugehörigkeit zu einer Berufsgruppe und Alter 
bzw. Geburtstag als Zusatzinformation zu dem Pseudonym prüfen und 
bescheinigen. Sie müssen weiter dafür sorgen, dass jedes Pseudonym nur 
einmal verwendet wird, damit es eindeutig einer Identität zugeordnet wer- 
den kann. Soeben wurde die zusätzliche Forderung aufgestellt, dass die 
von einer Person verwendeten Pseudonyme verknüpfbar sein müssen. 


Welche Anforderungen an eine Infrastruktur der Pseudonymverwaltung 
ergeben sich daraus? Da sich öffentliche Verwaltungen auf die Zusatzin- 
formationen verlassen können müssen, sollten die Pseudonymverwal- 
tungsstellen mindesten so zuverlässig sein wie die Öffentlichen Verwaltun- 
gen selbst.?0 Es wäre technisch am einfachsten, das gesamte Pseudonym- 
Management bei einer zentralen Instanz anzusiedeln. Auf diese Weise 
könnte am besten sichergestellt werden, dass jedes Pseudonym nur einmal 
vergeben wird und die möglicherweise vorkommenden unterschiedlichen 
Pseudonyme einer Person miteinander verknüpft werden können. Das 
Idealbild wäre demnach eine zentrale staatliche Pseudonymverwaltung. 
Damit diese Infrastruktur auch einen Nutzen für die E-Government-Bestre- 
bungen hat, die immerhin den Ausgang dieser Überlegungen bildeten, 
böte es sich auch an, gleich alle Bürger in die Vergabe der Pseudonyme 
einzubeziehen. Diese könnten dann gleich als einheitliches Personenkenn- 
zeichen (PKZ) verwendet werden und eine Reihe von Problemen lösen.?! 


Spätestens an dieser Stelle wird deutlich, dass wir gerade dabei sind, das 
Kind mit dem Bade auszuschütten. Die Verwendung von Pseudonymen 
sollte ursprünglich der Datenvermeidung und Datensparsamkeit dienen; 
sie ist beileibe kein Selbstzweck. Stellt sich nun heraus, dass Pseudonyme 
nur einsetzbar wären, wenn eine Infrastruktur aufgebaut würde, die ihrer- 
seits zu neuen umfangreichen Verarbeitungen personenbezogener Daten 
führte, so muss eben auf den Einsatz der Pseudonyme gegenüber der 
Verwaltung verzichtet werden. 


30 Wie schon oben erwähnt, wird diese Aufgabe nach dem SigG von den Zertifizierungs- 
diensteanbietern erfüllt. Beim Erlass des ersten deutschen SigG 1997 gab es eine intensive 
Diskussion darüber, ob diese Aufgaben nicht den Notaren als den klassischen Trägern öffent- 
lichen Glaubens zugewiesen werden müssten. 


31 wie Klinger, ein ausgewiesener Praktiker im E-Government, in Verwaltung und Manage- 
ment 2002, Heft 2, S. 76 ff. gezeigt hat, könnte die PKZ durchaus einige praktische Pro bleme 
lösen. Vgl. aber Weichert, RDV 2002, S. 170 ff, der davon ausgeht, dass die Vergabe einer 
PKZ nach wie vor verfassungsrechtlich unzulässig wäre. 
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6.1 


Exkurs: Pseudonyme Signaturen nach $ 5 Abs. 3 SigG 


Auf den ersten Blick scheint das eben gefundene Ergebnis entmutigend. 
Der Gesetzgeber hat doch im Signaturgesetz ausdrücklich die Möglichkeit 
geschaffen, qualifizierte Signaturzertifikate auch unter Pseudonym ausstel- 
len zu lassen. Nun kommen wir zu dem Ergebnis, dass der Einsatz von 
Pseudonymen (und damit auch von pseudonymen Signaturzertifikaten) in 
Verwaltungsverfahren schon funktional nicht möglich ist.?? Welchen Wert 
haben dann eigentlich noch die pseudonymen Signaturschlüsselzertifikate? 


Zivilrecht 


Hier ist es an der Zeit, auf einen unauflösbaren Widerspruch hinzuweisen, 
der aus der Möglichkeit der pseudonymen Zertifikate erwächst. Es geht 
wie weiter oben erwähnt um qualifizierte Signaturzertifikate, die auf ein 
Pseudonym anstatt auf einen Namen ausgestellt werden. Im Zivilrecht 
kann mit qualifizierten elektronischen Signaturen die gesetzliche Schrift- 
form ersetzt werden, soweit nicht im Einzelfall etwas anderes bestimmt ist 
($ 126 Abs. 3 BGB). Eine wesentliche Funktion der Schriftform besteht 
darin, die Person des Ausstellers einer Erklärung erkennbar zu machen.?? 
Die Identifizierung des Ausstellers wird auch bei der Verwendung von 
schriftformersetzenden elektronischen Signaturen als eine der Haupifunkti- 
onen angesehen.’ Der Zweck bei der Verwendung eines Pseudonyms 
steht dazu offensichtlich in genauem Gegensatz; die Identität des Ausstel- 
lers soll verschleiert werden. Droht nun Gefahr für den zivilrechtlichen 
Rechtsverkehr durch den Einsatz von dysfunktionalen qualifizierten, aber 
pseudonymen Signaturen? Keineswegs! Denn das BGB enthält seit Kurzem 
auch Vorschriften dazu, wie die qualifizierte elektronische Signatur tech- 
nisch gesehen zu verwenden ist. Im neuen § 126a unterläuft das BGB 
dabei das (nur wenig) ältere3® Signaturgesetz, indem es in Abs. 1 anordnet: 
„soll die gesetzlich vorgeschriebene schriftliche Form durch die elektroni- 
sche Form ersetzt werden, so muss der Aussteller der Erklärung dieser 
seinen Namen hinzufügen und das elektronische Dokument mit einer 
qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen.“ 
Es ist also erforderlich, die Erklärung zusammen mit dem Namen des Er- 
klärenden mit der Signatur zu versehen.?’ Bei Verwendung pseudonymer 


32 Zum Umstand, dass neuerdings nach den Änderungen im VwVfG der Einsatz pseudony - 
mer Signaturen auch rechtlich weitgehend ausgeschlossen ist, sogleich. 


33 Dies gehört zur Klarstellungs- und Beweisfunktion der Schriftform, vgl. H. Palm, in Erman, 
Bürgerliches Gesetzbuch, 10. Aufl. 2000, Rn. 1 zu $ 125. 


34 Heinrich, in: Palandt, Bürgerliches Gesetzbuch, 61. Aufl., 2002, Rn. 5 zu $ 126a. 


35 Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an 
den modernen Rechtsgeschäftsverkehr vom 13. Juli 2001, BGBl. I, S. 1542. 


36 Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer 
Vorschriften vom 16. Mai 2001, BGBl. I, S. 876. 


37 Angesichts des eindeutigen Wortlauts und des Umstandes, dass das ältere SigG klar zwi- 
schen Namen und Pseudonym unterscheidet, wird sich kaum argumentieren lassen, der 
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6.2 


Signaturen erhält der Empfänger demnach eine Willenserklärung unter der 
der wirkliche Name des Erklärenden steht?® und die mit einem Signatur- 
schlüssel signiert ist, der ausweislich des angehängten Zertifikats nicht auf 
diesen Namen, sondern auf ein anders lautendes Pseudonym ausgestellt 
wurde. Sollte der Empfänger Zweifel daran hegen, dass der verwendete 
Signaturschlüssel tatsächlich zu dem Pseudonym gehört, so kann er sich 
dies durch eine Abfrage der Datenbank beim Zertifizierungsdiensteanbieter 
bestätigen lassen. Es wird deutlich, dass die Kreuzung zweier technischer 
Verfahren, die gegenläufigen Zielen dienen, letztlich dazu geführt hat, dass 
keines der Ziele verwirklicht wird. Die Pseudonymität wird durch den 
Zusatz des Namens aufgehoben; der Erklärungswert des qualifizierten 
Signaturschlüsselzertifikats ist äußerst begrenzt. 


Die praktische Bedeutungslosigkeit der qualifizierten elektronischen Sig- 
naturen unter Pseudonym im Zivilrecht ist allerdings kein wirklicher Ver- 
lust für den Datenschutz und die Ziele der Datensparsamkeit und der Da- 
tenvermeidung. Man muss sich nur vergegenwärtigen, dass Schriftformer- 
fordernisse im deutschen Zivilrecht die Ausnahme sind und der weitaus 
größte Teil der praktisch relevanten Verträge wie bisher abgeschlossen 
werden kann, ohne dass die Verwendung von Pseudonymen grundsätzlich 
ausgeschlossen ist. 


Verwaltungsrecht 


Etwa ein Jahr nach der Einführung der elektronischen Form in das Zivil- 
recht unternahm es der Gesetzgeber mit dem Dritten Gesetz zur Änderung 
verwaltungsverfahrensrechtlicher Vorschriften vom 21. August 20023°, die 
grundsätzliche Gleichstellung der qualifizierten elektronischen Signatur mit 
der Schriftform auch im Verwaltungsverfahrensgesetz (VwVfG) zu kodifi- 
zieren.?® Dabei zeigte sich, dass es einige wesentliche Unterschiede zur 
zivilrechtlichen Ausgangssituation gab, die im Wesentlichen darin begrün- 
det liegen, dass im VwVfG die Formanforderungen sowohl für Kommuni- 
kationen des Bürgers an die Verwaltung wie auch der Verwaltung an den 
Bürger geregelt werden. So wurde beispielsweise in bewusster Abwei- 
chung von der Vorschrift des $ 126a Abs. 1 BGB darauf verzichtet zu ver- 
langen, dass der Aussteller der Erklärung seinen Namen hinzufügen muss. 
Begründet wird dies „mit den abweichenden Bedingungen einer öffentlich- 


Begriff Name umfasse auch ein eventuell im Signaturzertifikat enthaltenes Pseudonym. 


38 Wie wichtig dies sein kann, zeigt folgendes Beispiel: Zwar ist bei vielen Formvorschriften, 
die für die Bürger eine praktische Bedeutung haben, ausdrücklich klargestellt, dass die elekt- 
ronische Form im konkreten Fall nicht die Schriftform ersetzt (z.B. bei der Bürgsschaftserklä- 
rung, $ 766 BGB). Ein solcher Ausschluss fehlt aber bei der Vorschrift über die Schriftform der 
Kündigung von Mietverhältnissen über Wohnraum, $ 568 BGB. Müsste nicht der Name hinzu- 
gesetzt werden, so könnte den Mieter eine digital signierte Kündigungserklärung erreichen, 
abgesandt von einem Pseudonym, dessen Träger erst in einem gerichtlichen Verfahren er- 
mittelt werden könnte ($ 14 Abs. 2 SigG). 


39 BGBI. I S. 3322; die hier relevanten Vorschriften treten am 1. Februar 2003 in Kraft. 


40 Die Vorgeschichte des Entwurfs kann hier nicht nachgezeichnet werden, vgl. dazu: Schlat- 
mann, DVBI. 2002, S. 1005 ff., Schmitz/Schlatmann, NVwZ 2002, S. 1281 ff. 
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rechtlichen Verwaltungstätigkeit“.*! Allerdings ist zweifelhaft, ob hinrei- 
chend klar erkannt wurde, dass die Vorschrift auch für die Verwendung 
der elektronischen Signatur durch die „Verwaltungskunden‘ gilt. 


Das oben gefundene Ergebnis der grundsätzlichen Untauglichkeit von 
Pseudonymität im Verwaltungsverfahren hätte es erwarten lassen, dass der 
Gesetzgeber bei der Änderung des VwVfG die Verwendung von pseudo- 
nymen Zertifikaten vollständig ausschließt. Tatsächlich fand sich in einem 
früheren Stadium des Referentenentwurfs in $ 3a folgender Satz 3: „Die 
Signierung mit einem Pseudonym ersetzt nicht die Schriftform.“ Im Laufe 
der weiteren Ausarbeitung wurde diese klare Regelung allerdings verwäs- 
sert, so dass es jetzt heißt: „Die Signierung mit einem Pseudonym, das die 
Identifizierung der Person des Signaturschlüsselinhabers nicht ermöglicht, 
ersetzt nicht die Schriftform.“ Nach der Intention der Regelung sollen damit 
solche Pseudonyme ausgeschlossen werden, die der missbräuchlichen 
Inanspruchnahme der Verwaltung Vorschub leisten.*? Dies zielt offensicht- 
lich auf die Verwendung von Pseudonymen durch die Bürger ab. Für sie 
soll es allerdings zulässig sein, Künstler- oder Ordensnamen als Pseudo- 
nym zu verwenden.*3 Der Begriff Pseudonym im Sinne der Vorschrift soll 
damit den so genannten Wahlnamen erfassen, „der nur bei besonders 
bekannten Persönlichkeiten keine Irrtümer aufkommen lässt“.** 


Bei näherer Betrachtung wird deutlich, dass die Vorschrift und die dazu 
gegebene Begründung einige Widersprüchlichkeiten enthält. Zunächst ist 
nicht klar, nach welchem Maßstab es sich bemisst, ob das verwendete 
Pseudonym die Identifizierung der Person des Schlüsselinhabers ermög- 
licht. Der eine Amtswalter mag das Pseudonym eines Schauspielers ken- 
nen, ein anderer dagegen nicht. Probleme ergeben sich aber insbesondere 
bei der Verwendung von Künstler- und Ordensnamen. Bei diesen kann 
keineswegs davon ausgegangen werden, dass sie allgemein bekannt sind. 
Auch besteht bei diesen im Regelfall nicht die Möglichkeit, auf den bür- 
gerlichen Namen des Trägers rückzuschließen; dies gilt jedenfalls dann, 
wenn keine weiteren Informationen vorliegen. Zwar werden Künstler- und 
Ordensnamen in den Personalausweis aufgenommen ($ 1 Abs. 2 Nr. 4 
Personalausweisgesetz) und sind im Melderegister gespeichert ($ 2 Abs. 1 
Nr. 5 Melderechtsrahmengesetz [MRRG]). Auch ist es Behörden als Emp- 
fängern von mit dem Künstler- oder Ordensnamen signierten elektroni- 
schen Dokumenten rechtlich möglich, bei der Meldebehörde die meisten 
zur Person des Meldepflichtigen gespeicherten Daten abzurufen, so dass 
sich aus einem vorliegenden Künstler- oder Ordensnamen ein bürgerlicher 
Name und die dazugehörige Anschrift herleiten lässt (vgl. $ 18 Abs. 1 


41 Schlatmann, FN 40, S. 1009 


42 Vgl. Gesetzesbegründung, BT-Drs. 14/9000, S. 31; Schlatmann, FN 40, S. 1010; 
Schmitz/Schlatmann, FN 40, S. 1285. 


43 Gesetzesbegründung, a.a.O.; Schlatmann, a.a.O.; Schmitz/Schlatmann, a.a.O. 
44 Schmitz/Schlatmann, FN 40, S. 1285, dortige FN 50. 
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MRRG). Voraussetzung dafür ist allerdings, dass die Behörde weiß, an 
welche Meldebehörde bzw. Kommune sie die Anfrage richten muss. Ange- 
sichts der Vielzahl der Meldebehörden in Deutschland wird die oben ge- 
nannte Voraussetzung nach $ 3a Abs. 2 Satz 3 VwVfG demnach nur dann 
vorliegen, wenn bekannt ist, bzw. vom Verwender des Pseudonyms die 
Information mitgeliefert wird, bei welcher Kommune er gemeldet ist. An- 
gesichts dieser Unklarheiten stellt sich die Frage, ob der Gesetzgeber nicht 
besser die klare Fassung des ersten Entwurfs übernommen hätte. 


Allerdings hat die Formulierung des $ 3a Abs. 2 Satz 3 VwVfG noch einen 
anderen Aspekt, der möglicherweise verdeutlicht, was mit der oben zu 
Fußnote 41 zitierten „abweichenden Bedingungen einer öffentlich-rechtli- 
chen Verwaltungstätigkeit“ gemeint ist. Denn nach der Vorschrift soll es 
auch zulässig sein, dass bei der elektronischen Kommunikation von der 
Behörde an den Bürger anstelle des Namens des den Vorgang bearbeiten- 
den Amtswalters der Name der Behörde als Pseudonym verwendet wird. 
Damit soll offenbar ein häufig kritisiertes Defizit des Signaturgesetzes be- 
hoben werden, nämlich der Umstand, dass qualifizierte Signaturzertifikate 
bzw. -schlüssel nur von natürlichen Personen gehalten und verwendet 
werden können ($ 2 Nr. 9 SigG). Dadurch sind die Bediensteten letztlich 
verpflichtet, auf ihre Person ausgestellte Signaturschlüsselzertifikate zu 
beschaffen und dienstlich zu verwenden. Wegen der Gefahr des Miss- 
brauchs durch Dritte und der Beweiserleichterung in $ 292a ZPO® sind 
damit gewisse Risiken verbunden.*© Allerdings schließt die vorgeschlagene 
Verwendung von Gemeindenamen als Pseudonym für die Mitarbeiter die 
Risiken nicht aus, da diese schon mit der Existenz eines auf eine Person 
ausgestellten qualifizierten Signaturschlüsselzertifikats entstehen.?’” Umge- 
kehrt ist es äußerst fraglich, ob ein Bürger, der eine E-Mail erhält, die als 
(erkennbares) Pseudonym den Namen einer Behörde trägt, in der Lage ist, 
anhand dieser Information den Signaturschlüsselinhaber, also den kon- 
kreten Amtswalter, zu identifizieren (und gelingt dies nicht, wird nach dem 
Wortlaut der Vorschrift die Schriftform nicht gewahrt). Die Rückfrage beim 
Zertifizierungsdiensteanbieter brächte den Bürger nicht weiter, denn dieser 
darf wie oben dargestellt, das Pseudonym gegenüber einem Privaten nur 
in einem gerichtlichen Verfahren aufdecken. Darüber hinaus ist nach dem 
Signaturgesetz nicht ausgeschlossen, dass auch Namen von Behörden (o- 
der Bezeichnungen, die diesen ähnlich sind) als Pseudonym verwendet 
werden, solange erkennbar ist, dass es sich um ein Pseudonym handelt. 
Erhielte der Bürger daher eine solche E-Mail, könnte grundsätzlich nicht 


45 Kritisch dazu: Roßnagel, DÖV 2002, S. 221, 231 f. 
46 Näher dazu siehe die Stellungnahme in Fn. 1. 


47 Der Umstand, dass als Pseudonym der Name einer Kommune eingetragen ist, ändert 
nichts daran, dass beim rechtsgeschäftlichen Einsatz der Signatur der Signaturschlüssel-Inha- 
ber (der ja im Streitfall feststellbar ist) verpflichtet ist. Selbstverständlich kann nicht dadurch, 
dass als (erkennbares) Pseudonym der Name einer anderen (juristischen) Person gewählt 
wird, diese durch das rechtsgeschäftliche Handeln des Signaturschlüssel-Inhaber gebunden 
werden. Dies wäre zivilrechtlich gesehen ein unzulässiger Vertrag zu Lasten Dritter. 
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ausgeschlossen werden, dass es sich um den groben Scherz eines Dritten 
handelt. Die Nachfrage bei der vermeintlich als Absender auftretenden 
Behörde wäre vorprogrammiert.*? Wegen der vielen Unwägbarkeiten wird 
die hier beschriebene Verfahrensweise in der Praxis wohl kaum zu An- 
wendung kommen.?? In jedem Fall werden die oben angestellten Überle- 
gungen zur Untauglichkeit von nicht personenbezogenen Pseudonymen in 
der Verwaltung nicht tangiert, denn nach dem Wortlaut von $ 3a Abs. 2 
Satz 3 VwVfG dürfen nur personenbezogenen Pseudonyme eingesetzt 
werden. 


7 Sonstige Leistungen 


Im Rahmen des hier zur Verfügung stehendes Umfangs kann nur noch 
kurz auf sonstige Leistungen der Verwaltung eingegangen werden. Da es 
insgesamt eine Vielzahl unterschiedlichster Leistungen gibt, ist es schwie- 
rig, eine allgemein gültige Aussage zu treffen. Entscheidend wird im Ein- 
zelfall sein, ob eine Kenntnis der Identität des Bürgers im Einzelfall erfor- 
derlich ist. Es lassen sich „Produkte“ identifizieren, bei denen das offen- 
sichtlich nicht der Fall ist. 


Anonymität dürfte heute schon weitgehend realisiert sein, wenn es um 
allgemeine Auskünfte geht, die telefonisch eingeholt werden. Weiterhin 
benötigt die Verwaltung keine Kenntnis von der wirklichen Identität einer 
Person, die z.B. einen Kurs bei der Volkshochschule belegt. Dies gilt je- 
denfalls dann, wenn die Leistung im Voraus bezahlt wird.50 Etwas anderes 
kann aber dann gelten, wenn es um eine Abfolge mehrerer aufeinander 
aufbauender Kurse zu einem Thema geht und der Besuch des Einsteiger- 
kurses erst zur Berechtigung der weiterführenden Kurse berechtigt. 


Bei anderen Leistungen der Verwaltung muss eine Identitätsprüfung erfol- 
gen, damit nicht personenbezogene Daten an Unberechtigte herausgege- 
ben werden. So ist es für die Aufgabenerfüllung der Meldebehörde, die 
nach $ 30 Abs. 2 Gesetz über das Zentralregister und das Erziehungsregis- 
ter (BZRG) die Anträge auf Erteilung eines Führungszeugnisses entgegen- 
nimmt, nicht erforderlich zu wissen, wer ein Führungszeugnis beantragt. 
Allerdings sehen die Regelungen vor, dass die Identität des Antragstellers 
nachzuprüfen ist um zu vermeiden, dass die sensiblen Daten über etwaige 


48 Ein belastbarer Nachweis dafür, dass die Nachricht tatsächlich von einer (unter Pseudonym 
auftretenden) Person stammt, die bestimmte Vertretungsbefugnisse für die Kommune hat, 
könnte allerdings durch ein Attribut im Sinne von $ 7 Abs. 1 Nr. SigG erbracht werden. Je- 
doch dürfte auch diese Vorgehensweise kaum zur Transparenz beitragen, da die Nennung 
eines pseudonymen Absenders unter gleichzeitiger Angabe der Vertretungsmacht für das 
gewählte Pseudonym für die meisten Empfänger kaum nachvollziehbar sein dürfte. 


49 Nach der Meinung des Verfassers gilt dies allerdings insgesamt für den Einsatz von qualifi - 
zierten Signaturen bei den Bürgern. 


50 Auch bei vielen anderen Leistungen wird der eigentliche Grund für die Feststellung der 
Identität die Zahlungsproblematik sein. 
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Vorstrafen an den Falschen gelangen.°! Entsprechendes gilt immer dann, 
wenn personenbezogene Daten aus dem Bereich der Verwaltung an den 
Betroffenen weitergegeben werden sollen.?2 In diesen Fällen scheidet die 
Verwendung von Pseudonymen aus.? 


Ausschreibungen (E-Procurement) 


Im Bereich des Beschaffungswesens dürften Anonymität und Pseudony- 
mität in der Praxis bereits deswegen ausscheiden, weil sie nicht im Inte- 
resse der Bieter sind. Unternehmen, die ihre Leistungen am Markt anbie- 
ten, haben in aller Regel ein Interesse daran, dass ihre Identität bekannt 
ist. Gleichwohl soll kurz untersucht werden, ob jedenfalls theoretisch 
Pseudonymität realisiert werden kann. 


Das E-Procurement sehen viele Fachleute als eines der wichtigsten An- 
wendungsfelder des E-Government an.>* Der Gesetzgeber hat darauf rea- 
giert und in $ 15 der Vergabeverordnung (VgV) ausdrücklich zugelassen, 
Ausschreibungen so zu gestalten, dass Angebote elektronisch abgegeben 
werden dürften. Dabei ist die qualifizierte digitale Signatur einzusetzen; 
es findet sich keine Regelung dazu, dass pseudonyme Signaturen ausge- 
schlossen wären. 


Allerdings sprechen einige rechtliche Argumente gegen die Möglichkeit, 
Angebote unter Pseudonym abzugeben. So bestimmt $ 97 Abs. 4 Gesetz 
gegen Wettbewerbsbeschränkungen (GWB), dass „Aufträge (...) an fach- 
kundige, leistungsfähige und zuverlässige Unternehmen vergeben (wer- 
den)“. Die Vorschrift impliziert, dass die Prüfung möglich sein muss, ob 
die geforderten Eigenschaften vorliegen. Darüber hinaus sind mittelständi- 
sche Unternehmen besonders zu berücksichtigen?®, was ebenfalls nur zu 
realisieren ist, wenn die Struktur aller Bieter bekannt ist. Weiter ist offen- 
sichtlich, dass jedenfalls im Falle von Leistungsstörungen es in der Regel 
unvermeidlich sein dürfte, die Identität der Bieter aufzudecken. Dies ist 
spätestens dann der Fall, wenn für ein gerichtliches Verfahren eine la- 
dungsfähige Anschrift erforderlich ist. 


Schließlich gibt es ein umfangreiches System zu Nachprüfung der Verga- 
beverfahren. Auf Bundes- und Landesebene können Vergabeprüfstellen 


51 Diese Konstellation ist eines der Hauptprobleme des E-Government in der Praxis. Theore- 
tisch kommt die Verwendung von elektronischen Signaturen in Betracht. Mittlerweile kann 
aber wohl nicht mehr davon ausgegangen werden, dass diese Technik noch eine massen- 
hafte Verbreitung im privaten Bereich bei den Bürgern findet. 


52 Fin weiteres Beispiel ist die Notwendigkeit der Authentisierung bei der Beantragung von 
Personenstandsurkunden, die bei der Gemeinde abgefordert werden müssen, bei der das 
fragliche Ereignis im Familienbuch eingetragen ist. 


53 Oder sie wäre nur unter den oben geschilderten Umständen gan gbar. 

54 Vgl. dazu Mosbacher, DÖV 2001, S. 573 f. 

55 Weitere Regelungen zu elektronischen Angeboten finden sich in der VOB und VOL. 
56 § 97 Abs. 3 GWB, $ 7 Nr. 3 VOL. 
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eingerichtet werden; Vergabekammern prüfen auf Antrag von unterlege- 
nen Bietern die Rechtmäßigkeit des Verfahrens. Für die Zukunft ist jeden- 
falls auf Ebene der Länder geplant, ein Register über unzuverlässige Unter- 
nehmen einzurichten, um diese von künftigen Vergabeverfahren auszu- 
schießen.” Diese Kontrollen ließen sich unter Nutzung von Pseudonymen 
wiederum nur dann realisieren, wenn es die oben bereits verworfene ein- 
heitliche Pseudonymverwaltung gäbe. 


Es zeigt sich also, dass die Verwendung von Pseudonymen bei der öffent- 
lichen Auftragsvergabe weder den Interessen der Beteiligten entsprechen 
würde noch vor dem Hintergrund des geltenden Rechts möglich wäre. 


9 Ergebnis 


Die Prüfung einiger der hauptsächlichen Anwendungsfelder des E-Go- 
vernment hat ergeben, dass in den meisten Fällen die Offenlegung der 
Identität unumgänglich ist. Die Verwendung von Pseudonymen scheidet in 
diesen Fällen aus, wollte man nicht zusätzlich zu den bestehenden Struktu- 
ren eine komplizierte Infrastruktur zur einheitlichen Verwaltung von Pseu- 
donymen aufbauen, was aber die Verwendung von Pseudonymen als Mit- 
tel zur Datensparsamkeit ad absurdum führen würde. In einigen Bereichen 
können die Leistungen der Verwaltung erbracht werden, ohne dass über- 
haupt bekannt sein muss, an wen sie erbracht werden. In diesen Fällen 
können die Bürger ohne Weiteres anonym bleiben; theoretisch ist hier 


auch die Verwendung von Pseudonymen als Minus zur Anonymität mög- 
lich. 


57 Vgl. in Schleswig-Holstein LT-Drs. 15/2149. Ein entsprechendes Vorhaben war auf Bu ndes- 
ebene gescheitert, BT-Drs. 14/9794. 
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Klick ins Ungewisse 


Christiane Schulzki-Haddouti 


Computer, Internet, Handy — neue Technologien erleichtern die Arbeit. 
Aber sie sind auch eine wertvolle Hilfe für Polizei und Geheimdienste. 
Denn beim mobilen Telefonieren, beim Verschicken von E-Mails oder 
beim Recherchieren im Internet hinterlassen die Nutzer digitale Datenspu- 
ren. Und geben damit professionellen Datenjägern ungewollt Informatio- 
nen und Informanten preis. Wer die Fallstricke kennt, kann Vorsorge tref- 
fen. 


1 Schleichende Aushöhlung 


In den letzten Jahren höhlten zahlreiche neue Gesetze und Verordnungen 
das Fernmeldegeheimnis aus. Die Entwicklung verlief seit der Liberalisie- 
rung des Telekommunikationsmarktes 1997 schleichend. Das benutzte 
Medium spielt für die rechtlichen Regelungen übrigens keine Rolle, da der 
Gesetzgeber unter “Telekommunikation“ nicht nur Telefonieren im Fest- 
und Funknetz, sondern auch SMS-Mitteilungen, E-Mails samt Datei- 
anhängen, Faxe, Chatroom-Kommunikation, Videokommunikation und 
vieles mehr versteht. Die letzte Befugniserweiterung fand im August 2002 
statt: Seither ist der Zugriff auf die Standortdaten eingeschalteter Handys 
auf Basis des $ 100i StPO erlaubt, der durch das Terrorismusbekämpfungs- 
gesetz nach den Terroranschlägen vom 11. September eingeführt wurde. 


Die Standortdaten gehören zu den so genannten Telekommunikationsver- 
bindungsdaten. Diese geben darüber Aufschluss, wer mit wem wie lange 
und wann telefoniert hat, oder wer wann welche Website aufgesucht hat. 
Mit Hilfe der Verbindungsdaten können Strafverfolger und Geheimdienste 
Beziehungsgeflechte kartieren - entsprechende Software hilft ihnen dabei, 
interessante Bezüge festzustellen: Übermittelt Herr Meier immer über Frau 
Müller Informationen an Herrn Schmidt? Tut er das in der Regel dann, 
wenn er zuvor mit Frau Huber telefoniert hat? Oder ist der Anlass für be- 
stimmte Aktivitäten jeweils eine verschlüsselte E-Mail eines unbekannten 
Absenders? Besonders bei der Drogenbekämpfung, wo Dealer per Telefon 
nur kodierte Anweisungen übermitteln, sind die Verbindungsdaten deshalb 
eine beliebte Informationsquelle. 


H. Da umler et al. eads. j), Anonymität ım Internet 


9, Sprıngei Fachmedien Wiesbaden 2003 
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Staatsanwälte dürfen bereits beim bloßen Anfangsverdacht auf Basis des 
Paragrafen 100g StPO diese bei den Telekommunikations- und Internet- 
betreibern gespeicherten Verbindungsdaten herausverlangen. Träger von 
Berufsgeheimnissen wie Journalisten oder Rechtsanwälte stehen dabei 
unter keinem besonderen Schutz. Laut Telekommunikations- 
Datenschutzverordnung (TDSV) dürfen diese Daten nur maximal sechs 
Monate gespeichert werden. Im Frühjahr 2002 verabschiedete der unions- 
geführte Bundesrat ein Gesetz, um die Daten mindestens sechs Monate zu 
speichern. Der Bundestag hat allerdings noch nicht zugestimmt. Zwar ver- 
langt das Teledienste-Datenschutzgesetz (TDDSG) immer noch, dass die 
Nutzungsdaten sofort zu löschen ist, sofern diese nicht der Abrechnung 
dienen. Doch in der Praxis, so klagen Datenschützer, hält sich kaum je- 
mand an diese Regelung. Im Falle des Falles dürften also Polizei und Ge- 
heimdiensten üppige Datensammlungen zur Verfügung stehen. 


Inhalte von E-Mails fallen wie auch Inhalte von Telefongesprächen unter 
das Fernmeldegeheimnis und sind deshalb besonders geschützt. Auf wel- 
che Weise und wodurch es gebrochen werden darf, beschreibt das G10- 
Gesetz, das Gesetz zum Artikel 10 Grundgesetz. In $ 100a Strafprozessord- 
nung (StPO) werden die Straftaten einzeln aufgeführt, die zum Abhören 
berechtigen. Ein einfacher Tatverdacht genügt, die Genehmigung erteilt ein 
Ermittlungsrichter, bei Gefahr in Verzug auch der Staatsanwalt. Der Bun- 
desnachrichtendienst darf bereits aufgrund einer abstrakten Gefahrenlage 
internationale Verbindungen abhören. Überwacht werden dürfen nicht nur 
die beschuldigten Personen, sondern zwangsläufig auch nicht beschuldigte 
Personen und damit auch solche Personen, die das Recht der Zeugnisver- 
weigerung in Anspruch nehmen dürfen. 


Die technische Umsetzung von E-Mail-Überwachung soll nach Willen der 
Regulierungsbehörde bereits im nächsten Jahr erfolgen, obwohl die ent- 
sprechende Telekommunikationsüberwachungs-Verordnung eine Über- 
gangsfrist bis 2005 vorsieht. Dabei stellen die Betreiber Überwachungs- 
schnittstellen auf eigene Kosten zur Verfügung, über die der Datenverkehr 
angezapft werden kann. Unter bestimmten Bedingungen können auch 
andere europäische Mitgliedstaaten auf der Basis des im Mai 2000 verab- 
schiedeten Europäischen Rechtshilfeabkommens grenzüberschreitend per 
Fernzugriff die Daten eines anderes Landes abhören. 


Kein Zeugnisverweigerungsrecht 


Gerade Parlamentsabgeordnete, Seelsorger, Rechtsanwälte, Ärzte und 
Journalisten sollten mit Menschen, die ihnen vertrauen geschützt kommu- 
nizieren können. Vor Gericht dürfen sie deshalb sogar die Aussage ver- 
weigern. Doch können sie dieses Vertrauensverhältnis auch im Umgang 
mit dem Telefon und dem Internet bewahren? Können sie es vor Ausspä- 
hung durch Staat und Unternehmen schützen? Immer wieder machen Poli- 
tiker mit Plänen auf sich aufmerksam, auch geschützte Berufsgruppen 
jederzeit abhören zu lassen. Der jüngste Vorstoß des konservativ-liberalen 
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Hamburger Senats scheiterte zwar, doch in Bayern, Baden-Württemberg 
und Thüringen wurden solche Regelungen längst verabschiedet. Hamburg 
ist übrigens neben Bremen und Hessen, auch ohne verschärfte Gesetzge- 
bung, seit Jahren deutscher Spitzenreiter im Abhören. 


Überhaupt ist das Zeugnisverweigerungsrecht nur in einigen kleinen Aus- 
nahmen in einzelnen Bundesländern ausdrücklich vor kleinen oder großen 
Lauschangriffen jeglicher Art geschützt. Nur wenige Polizei- und Landes- 
verfassungsschutzgesetze nehmen beispielsweise Journalisten ausdrücklich 
aus. So erlaubt beispielsweise Bremen den großen Lauschangriff ausdrück- 
lich nicht für bestimmte Berufsgruppen, in Mecklenburg-Vorpommern ist 
das Abhören immerhin außerhalb von Wohnungen erlaubt. Das Branden- 
burger Polizeigesetz wiederum verbietet eine Datenerhebung, wenn in ein 
“geschütztes Vertrauensverhältnis“ eingebrochen wird. “Es gibt also ein- 
zelne Ausnahmen“, sagt denn auch der Justiziar des Deutschen Journalis- 
tenverbandes Benno Pöppelmann, “aber sonst gibt es keinen Grund zur 
Entwarnung‘. 


3 Unwissentliche Selbstenthüllungen 


Angesichts solcher Überwachungsmöglichkeiten erstaunt es, dass sich die 
meisten recht sorglos in der digitalen Datenwelt bewegen. Schon im all- 
täglichen Umgang geben sie unbedacht Informationen preis: Eine E-Mail 
ist, ähnlich wie eine Postkarte, eine öffentliche Nachricht. Wird diese wei- 
tergeleitet, so ist das im Nachrichtenkopf zu lesen. Wer E-Mails per CC: 
versendet, nimmt in Kauf, dass der Empfänger mit einem Blick den ge- 
samten Verteilerkreis erkennen kann. Manche versenden zudem gerne 
Artikel als Word-Dateien. Dabei verrät die Dateistatistik, wie lange am 
Artikel gearbeitet wurde, und die Korrekturfunktion offenbart alle vorge- 
nommenen Änderungen. Manchmal mag dies sinnvoll sein, manchmal 
auch ungeahnt entlarvend. Hier wäre das Abspeichern im allgemein ver- 
fügbaren Rich-Text-Format (RTF) besser gewesen, das überdies für Makro- 
Viren völlig unempfindlich ist. 


Außerhalb des alltäglichen Blickfeldes dürften die Informationen sein, die 
man unwissentlich im Netz über sich preisgibt - abgesehen davon, dass 
man als aktiver Nutzer vielleicht in Newsgroups und Mailinglisten seine 
Meinung kund tut oder seine Homepage samt Lebenslauf und Privatan- 
schrift unterhält. Rechner protokollieren jeden einzelnen Schritt, um die 
Kommunikation überhaupt zu ermöglichen. Datenschützer fordern deshalb 
schon seit Jahren an die Seite des papierenen Rechts auch den technischen 
Selbstschutz der Nutzer zu stellen. Denn erst Datenschutz- und Verschlüs- 
selungsprogramme bieten wirklich Schutz vor Ausspähung. Nutzer sollten 
sich bewusst sein, dass nicht unbedingt die abgefangene E-Mail, sondern 
auch die Auswertung der Serverprotokolldaten, der so genannten Logfiles, 
jede Menge über den Rechercheur preisgibt. 
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Logfile-Analysen 


Während Polizei und Geheimdienste Logfiles nur bei Anfangsverdacht 
auswerten, ist die Auswertung der Logfiles durch die Website-Betreiber 
alltägliche Praxis. Sie können in der Regel erkennen, von welcher Domain 
beziehungsweise welcher IP-Nummer aus der Besucher ins Netz gegangen 
ist. Ob sich eine Rundfunkanstalt, eine Firma, eine Behörde oder eine 
Privatperson für Informationen auf der Website interessieren, können die 
Anbieter leicht feststellen: Die Domainnamen sind im Logfile schnell zu 
erkennen. Nackte IP-Nummern lassen sich in der Datenbank des “RIPE 
Network Coordination Center“ (http://www.ripe.net/) auf Einwahlknoten 
zurückführen. 


Aussagekräftig sind jedoch nicht nur IP-Nummern, sondern auch Angaben 
darüber, welche Webseite der Nutzer zuvor besucht hat. Diese Angaben 
des so genannten Referers verrät der Browser, der bei jedem Klick auf 
einen Link die Ausgangsseite als Herkunft mit angibt. So kann beim Ziel- 
server registriert werden, woher die Surfer kommen. Der Referer kann 
aber auch verraten, was den Surfer besonders interessiert: So übergibt 
beispielsweise die Suchmaschine Google auf ihren Ergebnisseiten den 
Suchstring des Benutzers in der Adresszeile. Klickt man im Logfile auf 
diesen Link, wird eben diese Adresse als Referer an die Zielseite übermit- 
telt — inklusive des kompletten Suchstrings. Sucht ein Journalist beispiels- 
weise mit den Suchwörtern "Presse", "Telefon" und “Firmenname“ die Kon- 
taktanschrift der Pressestelle, kann der Aufgesuchte im Logfile im Klartext 
erkennen, was den Journalisten zur Webseite www.firmenname.de geführt 
hat: 


sender.de [11/Nov/2002:9:40:56 +0200] 


"GET /www.£firmenname/pages/ HTTP/1.0" 200 254 
http: //www.google.com/search?q=Presse+tTelefon+Firmenname" 
Mozilla/4.7 [de] (WinNT; I)" 


Prekär wird dies dann, wenn beispielsweise Namen von Informanten aus 
einem Unternehmen oder einer Behörde im Suchstring verwendet werden 
und dann im Logfile auftauchen. Durchsucht der Arbeitgeber sein Logfile 
auf IP-Nummern oder Domains mit Bezug zur Presse und stößt er auf den 
Namen seines Angestellten, könnte das ein wertvoller Hinweis sein, der 
schließlich zur Aufdeckung des Informanten führt. An den Haaren herbei- 
gezogen ist dieses Beispiel keineswegs, ließ doch vor einigen Jahren eine 
Behörde nach der Suche eines Informanten aus eigenen Reihen sogar die 
Rückseite einer Briefmarke nach Speichelspuren für eine DNA-Analyse 
untersuchen. Da ist eine Weblog-Analyse vergleichsweise schon weniger 
aufwändig - und lässt auch den mutmaßlichen Informanten im Ungewis- 
sen. 


Auch Informationsflüsse können mit Hilfe des Referers rekonstruiert wer- 
den. Klickt ein Nutzer beispielsweise auf die in einer E-Mail angegebene 
Internetadresse, kann der Pfadname an den Server übermittelt werden. Der 
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gibt dann Auskunft über den Namen des E-Mailprogramms und des Nut- 
zers. Der Referer könnte etwa so aussehen: 


c:\Programme\Mail-Programm\Gerd.Sorglos\inbox.msg. Zusammen mit 
der Domain kann dann ein Webmaster schnell feststellen, wer diese E-Mail 
erhalten und wer die Webseite besucht hat. 


5 Der Bundesnachrichtendienst im Netz 


Fälschlicherweise nehmen viele Nutzer an, dass der Besuch der bei Google 
im Cache gespeicherten Websites nicht protokolliert wird. Dabei überträgt 
der Browser an die Website die Referer-Meldung samt Cache-Nummer und 
Suchbegriffen. Dies war offensichtlich auch dem deutschen Auslandsge- 
heimdienst bislang unbekannt: 


Der Betreiber einer privaten Website erhielt Ende 2002 vom Bundesnach- 
richtendienst (BND) eine Abmahnung. Er hatte ein Arbeitspapier des BND 
auf seiner Website veröffentlicht und sollte es nun wegen Verstoßes gegen 
das Urheberrecht von seiner Site wieder entfernen. Er analysierte sein Log- 
file und entdeckte am Tag, bevor der BND seinen Brief versandt hatte, 
folgenden, nun von mir pseudonymisierten Eintrag, der den Zugriff auf das 
besagte Dokument protokollierte: 


"GET /gruende/bundeswehr.pdf HTTP/1.0" 200 534862 
"http: //www.google.de/search?g=cache:Nvtsj6yq9SEC:www. 
lockanaly- 
se.de/1l0gruende.html+tGemeinsametsicherheit+tund+tzukunft 
+der+Bundeswehrshl=en" 


Einige Monate zuvor hatte der Bundesnachrichtendienst unter derselben, 
fixen IP-Nummer auf die von ihm angemahnte Seite zugegriffen. Fixe IP- 
Nummern haben in der Regel nur Provider-Großkunden. Eingerichtet wur- 
de die IP-Nummer des BND übrigens von der Deutschen Telekom. Eine 
Abfrage der Logfiles bei anderen Webmastern könnte das Nutzerverhalten 
des Geheimdienstes offenbaren - und damit seine Rechercheinteressen. Für 
ausländische Dienste wäre diese Art der digitalen Aufklärung ein Mittel, 
um dem Bundesnachrichtendienst gezielt und konzertiert auf eigenen 
Webseiten Falschinformationen zu unterschieben. 


Dabei hatte der BND die Website über den Google-Cache besucht, wohl 
in der Annahme, dieser würde seine Daten für sich behalten. Doch der 
Google-Cache ruft seinerseits wieder Teile der Daten von der Website 
direkt ab. Damit bietet er keinen Schutz vor Logfile-Einträgen. Die aller- 
meisten Standard-Browser bieten derzeit keine Möglichkeit, die Übertra- 
gung des Referer-Feldes zu unterbinden. Allein der Internet-Browser Ope- 
ra bietet diese Option an und der Mozilla-Browser Beonex tut dies stan- 
dardmäßig. Mit seiner Hilfe lassen sich sogar irreführende Referer ge- 
nerieren. 


Aus den Logfile-Daten ging zudem hervor, dass der Bundesnachrichten- 
dienst mit dem Browser Opera von einem Windows-NT-System aus arbei- 
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tete. Außerdem verschleierte er seinen Besuch nicht durch weitere Maß- 
nahmen wie etwa einen Anonymisierungsdienst. Der Browser überträgt 
allerdings noch weitere, sicherheitsrelevante Daten: So reicht er die Daten 
über die Konfiguration des Rechners, installierte Plug-Ins, das Cookie-Ma- 
nagement sowie Aktivierung von Active-X, Java oder Javascript weiter. 
Angaben über Bildschirmauflösung und Prozessor ermöglichen Ableitun- 
gen, unter welchen Bedingungen der Surfer im Netz ist und zu welcher 
Nutzergruppe er gehören könnte. 


Schon diese Informationen dürften genügen, um potenziellen Angreifern 
eine Vorstellung über die Schwachstellen seines Systems zu vermitteln. 
Fremde Geheimdienste könnten nun auf der Basis dieser Informationen 
gezielte Angriffe gegen den Netzknoten und den Server des Bundesnach- 
richtendienstes fahren. Das Verhalten des BND lässt nicht unbedingt auf 
fundierte Kenntnisse in Sachen IT-Sicherheit und Datenschutz schließen. 
Der Google-Cache als einziges Datenschutz-Mittel ist zur Identitätsver- 
schleierung einfach zu dürftig. Und überhaupt: Können wir Google selbst 
vertrauen? Wie geht Google mit den Milliarden Nutzerdaten um, die auf 
seinen Servern anfallen? Auf ihrer Basis könnte schließlich jeder Geheim- 
dienst strategische Aufklärung betreiben. 


Ich weiß, was du machst 


Am schwierigsten sind Nutzer übrigens dann zu erkennen, wenn sie über 
große Online-Anbieter wie T-Online oder AOL das Internet nutzen. Dort 
ändert sich bei normalen Kundenanschlüssen nämlich mit jeder Einwahl 
die IP-Nummer. Dennoch offenbart sie in der Regel, an welchem Knoten- 
punkt des Internetproviders der Nutzer sich eingewählt hat. Damit lässt 
sich der reale Aufenthaltsort eines normalen Surfers ziemlich genau 
bestimmen. 


Eindeutig können Nutzer beziehungsweise ihre Rechner nur mit Hilfe von 
Cookies identifiziert werden. Cookies sind kleine Textdateien, die eine 
Webseite auf dem Computer des Besuchers ablegen kann. Mithilfe dieser 
Datei speichert der Webserver auf dem Rechner des Nutzers bestimmte 
Informationen ab. Beim nächsten Besuch werden diese dann automatisch 
wieder hergestellt. Auch kann ein Server auf diese Weise den Anwender 
während des gesamten Besuchs identifizieren. So weiß er, welche Seiten 
sich der Besucher angesehen hat und was er unternommen hat. “Session 
Cookies“, die gelöscht werden, wenn der Browser geschlossen wird, sind 
relativ unproblematisch. “Dauerhafte Cookies“ hingegen haben ein Ver- 
fallsdatum von mehreren Monaten oder Jahren. Mit ihrer Hilfe kann ein 
Server den Nutzer für einen Server über einen längeren Zeitraum identifi- 
zieren. 


Sehr bekannt ist beispielsweise der Online-Buchhändler Amazon.de, der 
Kunden namentlich begrüßt und in der Rubrik “Für Sie ausgewählt...“ an- 
hand des Bestellprofils des Kunden individuelle Vorschläge unterbreitet. 
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Dabei erkennt Amazon den Besucher mit Hilfe eines dauerhaften Cookies 
und greift dann auf die interne Kundendatenbank zurück, um eine maßge- 
schneiderte Empfehlung auf der Basis ähnlicher Kaufentscheidungen ande- 
rer Kunden zu geben. Hat der Kunde seit dem letzten Besuch das Cookie 
gelöscht, muss er sich neu mit E-Mail-Adresse und Passwort anmelden, um 
wieder identifiziert werden zu können. Kunden, die Amazon nicht gleich 
erkennt, sehen übrigens beim Aufruf einen Begrüßungsgutschein. 


Schließlich kann ein Server den Nutzer noch mit Hilfe des “Global Unique 
Identifier‘ (GUID) erkennen. Diese Identifikationsnummer kann auf der 
Hardware wie der Seriennummer des Pentium-Chips, der Software oder 
auf Diensten wie Cookies basieren. Während Cookies von einem Anbieter 
gesetzt werden, um seine Nutzer zu erkennen, ermöglichen GUIDs vielen 
verschiedenen Anbietern den Nutzer zu identifizieren. Werden diese Daten 
untereinander verknüpft, ergäbe dies ein komplettes Nutzerprofil. 


Webkäfer wiederum geben darüber Auskunft, ob ein Journalist eine E-Mail 
gelesen hat. Dabei handelt es sich um eine winzige, unsichtbare Grafikda- 
tei, auf die mit einem Link in einer HTML-Mail verwiesen wird. Der Link 
enthält eine ID-Nummer, die der Absender mit der E-Mail-Adresse des 
Empfängers verknüpft. Öffnet dieser die E-Mail, versucht das E-Mail- 
Programm die Grafik nachzuladen. Dabei wird die ID-Nummer versandt 
und der Absender weiß, ob und wann der Journalist die E-Mail öffnete. 
Dies lässt sich leicht vermeiden, indem man HTML-E-Mails nicht zulässt. 


7 Kombinationen 


Während wohl ein einzelner Besuch auf einer Website noch nicht sehr viel 
über die Arbeits- und Interessensgebiete eines Internet-Surfers aussagt, 
können zusätzliche Datenspuren durchaus Rückschlüsse zulassen. Die 
Kombination verschiedener Datenquellen, nicht nur aus dem Web, kann, 
wie das Beispiel des Bundesnachrichtendienstes zeigt, entlarvend sein. 


Ähnliche Konstellationen kann sich jeder leicht mit etwas Phantasie aus- 
malen: Hat beispielsweise ein Finanzbeamter eine Website besucht und 
nimmt dann per Telefon oder Brief mit dem Steuerschuldner Kontakt auf, 
könnte dieser mit Hilfe seiner Logfiles mehr über den Kenntnisstand des 
Beamten herausfinden. Vielleicht hat dieser entdeckt, dass der Steuerzahler 
auf seiner Website mit verschiedenen Marketing-Partner-Programmen zu- 
sammenarbeitet und schätzt nun auf Basis des Besucherzählers die mut- 
maßlichen Einnahmen durch Werbekostenerstattungen? 


Doch nicht nur Logfiles geben Auskunft, sondern auch Gästebucheinträge, 
Beiträge in Newsgroups oder Mailinglisten sowie persönliche Homepages 
verraten etwas über das Interessens- und Arbeitsgebiet. Ein sorgfältiger, 
selbstbestimmter Umgang mit den persönlichen Daten sollte daher im 
Interesse jedes Bürgers liegen. 


Wer hilft bei der Wahrung der Anonymität? 


Patrick Goltzsch 


1 Transparente Nutzer 


"Mit Anonymität befassen sich nur Leute, die auch etwas davon verstehen", 
behauptet Martin Lesser Geschäftsführer der Hamburger Sicherheitsberater 
Better-Com. Doch was soll an Anonymität nicht zu verstehen sein? Reicht 
es nicht, sich über Call-by-Call ins Internet einzuwählen und seine E-Mail 
über ein Postfach mit klangvollem Pseudonym abzuwickeln? 


Tatsächlich beobachtet Lesser, dass die meisten Anwender von dieser An- 
nahme ausgehen: "In der Regel glauben die Leute, sie surfen anonym 
durch die Weltgeschichte." Für die ersten Zweifel an dieser Vorstellung 
sorgt meist ein durch unerwünschte Werbung verstopftes Postfach, meint 
Lutz Donnerhacke, Sprecher des Fördervereins Informationstechnik und 
Gesellschaft (FITUG): "Sobald Spam in das Postfach flutet, beginnen die 
Leute Fragen zu stellen. Woher bekommen die Werber die E-Mail-Adresse? 
Welche Informationen könnten sie sich außerdem beschafft haben? Wie 
lässt sich das verhindern?" 


Die Alltagserfahrung lässt Anonymität als gegeben erscheinen. Beim 
Schaufensterbummel interessiert den Ladenbesitzer nicht, wer da durch die 
Scheiben sieht und was genauer betrachtet wird. Der Zeitschriftenladen 
lädt ein zum Durchblättern der Magazine, und auch wer sich festliest, muss 
sich nicht ausweisen. Wer schließlich an der Kasse sein Portemonnaie 
zückt, um bar zu bezahlen, hinterlässt ein paar Münzen aber keine Ad- 
resse. Und bei Ladenschluss kann dann niemand mehr zuordnen, von 
wem welcher Schein in der Kasse stammt. Wer sich dann zu Hause mit 
dem "Spiegel" an den Küchentisch setzt, kann sicher sein, dass seine Lese- 
gewohnheit - auf der letzten Seite beim Hohlspiegel anzufangen, die Titel- 
geschichte zu streifen, um sich dann im Kulturteil zu verlieren - nicht zum 
Gegenstand penibler Untersuchungen wird. 


Das Netz kehrt diese Erfahrung vollständig um. Bei der Online-Ausgabe 
des Hamburger Magazins lässt sich bei einem Großteil der Leser deren 
Weg über die Seiten nachvollziehen. Die Server führen präzise Buch, 
wann sie welche Seiten wohin geliefert haben. Anhand der Protokolle 
können die Leser nach ihren Gewohnheiten klassifiziert oder nach ihrem 
Standort gruppiert werden. Und nicht nur die Zahl der Aufrufe eines Arti- 
kels lässt sich ermitteln, sondern auch ob er weitergeschickt (und natürlich 
an welche Adresse) oder gedruckt worden ist. 
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Dazu kommt, dass die Anwendungen, ob E-Mail-Client, Web-Browser oder 
Chat-Programm, freudig Auskünfte über sich selbst, ihren Benutzer, ihre 
Fähigkeiten und ihre Umgebung verteilen. In der E-Mail werden zuvor- 
kommend die Zeit des Abschickens protokolliert und die Stationen ver- 
merkt, die sie bis zum Empfänger passiert hat. Der Browser erzählt allen 
Websites, von welcher Seite er kommt, und teilt auf Anfrage auch gerne 
mit, dass er schon einmal da war. Und während der verblüffte Surfer noch 
rätselt, ob es wohl Zufall ist, dass ihm das Werbebanner auf dem Chat- 
Portal zu dieser späten Stunde das Bier der lokalen Brauerei anpreist, hat 
der Browser sich auch die E-Mail-Adresse entlocken lassen. 


Den steten Strom an persönlichen Informationen, der über das schmale 
Kabel vom PC über die Dose in der Wand ins Netz steckt, müssen die 
Anwender nicht explizit anstoßen. Ihr Rechner fungiert als Black Box. Er 
garniert die einzelnen Mausklicks mit zusätzlichen Informationen, sodass 
auf der Anbieterseite die Puzzle-Teile der einzelnen Seitenaufrufe zu einem 
Profil zusammengefügt werden können. 


2 Intransparente Technik 


Vor diesem Hintergrund zeigt sich das Dilemma der Anonymität im Inter- 
net. Einerseits fordert Helmut Bäumler, Leiter des Schleswig-Holsteinischen 
Datenschutzzentrums, das Recht auf Anonymität müsse effektiv durchge- 
setzt werden. Andererseits bewegt sich ein Großteil der Anwender trotz 
verschiedentlicher Irritationen ohne Sicherungsmaßnahmen durchs Netz, 
weil sie sich bereits mit ihrer scheinbaren Anonymität zufrieden geben. 
Damit die Nutzer ihr Recht auf Anonymität wahrnehmen können, müssen 
sie dafür sensibilisiert werden, dass schützenswerte Informationen preisge- 
geben werden. Sie benötigen Erläuterungen, welche Mechanismen ihre 
Privatsphäre durchlöchern. Und schließlich brauchen sie verständliche 
Anleitungen, wie sie den Informationsfluss kontrollieren können. 


Im Internet mangelt es nicht am guten Willen zur Aufklärung. Gleich eine 
ganze Reihe von Websites bemüht sich darum, Erkenntnisse zu vermitteln, 
welche anwenderspezifischen Angaben allein die Browser hinterlassen. So 
stellt das Angebot des Schweizer Datenschutzbeauftragten! in vier klar 
gegliederten Stufen dar, welche Informationen verfügbar sind. Stufe eins 
zeigt, von welcher Seite der Browser gekommen ist, um welches Betriebs- 
system und welchen Browser es sich handelt. Die zweite Stufe gibt einen 
Überblick, ob der Browser sich durch Anweisungen von der Website steu- 
ern lässt, und ob ihn die Site mittels eines Cookies eindeutig markieren 
kann. In den Stufen drei und vier werden anschließend Windows-spezifi- 
sche Schwächen demonstriert. 


l Browser-Test des Schweizer Datenschutzbeauftragten http://152.96.120.35/. 
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Verbunden ist die Analyse mit einer statistischen Übersicht? über die bisher 
durchgeführten Diagnosen. Danach wurde zwischen März 2001 und Okto- 
ber 2002 über 400.000 Mal die Möglichkeit genutzt, den eigenen Browser 
zu testen. Es dürfte sich dabei überwiegend um Anwender handeln, die 
sich Gedanken um ihre Privatsphäre machen. Umso beeindruckender fällt 
das Ergebnis aus: Bei 70 Prozent und mehr liegt die Zahl derjenigen, die 
eine Browsersteuerung durch die Site zulassen. Drei Viertel der Testenden 
akzeptierten auch die eindeutige Markierung ihres Browsers. 


Welche Lehre die Anwender aus der Lektion der Schweizer Site ziehen, 
muss unklar bleiben. Es steht jedoch zu vermuten, dass sie nach dem Test 
dem Netz und ihrer Software eher mit einem generellen Unbehagen be- 
gegnen werden; denn zum Verständnis, was der Browser treibt, und wie 
sich die einzelnen Elemente missbrauchen lassen, tragen die Seiten wenig 
bei. Das Glossar erklärt in dürren Worten, was kryptische Abkürzungen 
wie JScript oder VBScript bedeuten. Und die Bewertung empfiehlt schlicht, 
die einzelnen Komponenten abzuschalten. Schon im Fall der Cookies dürf- 
te sich das als kontraproduktiv erweisen, da die Markierung häufig auch 
als Ersatz für eine Passwort-Eingabe verwendet wird. Eines der be- 
kannteren Beispiele für eine Zugangssicherung mittels Cookies dürfte der 
Zugriff auf die Artikel der New York Times darstellen. Einmal registriert, 
können Leser es dann dem Browser überlassen die Ausweisprozedur über 
das Cookie zu regeln. 


Etwas anders als die Schweizer Datenschützer geht eine private Website? 
in Deutschland bei der Aufklärung vor. Sie demonstriert, welcher Unfug 
unbemerkt getrieben werden kann, in dem sie deutlich macht, dass sich 
zum Beispiel die E-Mail-Adresse vielfach über Javascript auslesen lässt. 
Zudem beschränken sich die Seiten nicht auf die Aufforderung, die ver- 
schiedenen Mechanismen abzustellen, sondern geben auch eine Anleitung, 
wie sich das bewerkstelligen lässt. Leider lassen die Seiten die Übersicht- 
lichkeit des Schweizer Angebots schmerzlich vermissen. Noch schlimmer: 
Die Vorliebe des Autors für verschiedenfarbige Texte macht die Seiten fast 
unleserlich. 


Die Optionen der Nutzer 


Ob in den USA®, in Dänemark? oder in Russland, die Privatsphäre im 
Internet zu wahren, ist weltweit Thema. Doch im Vorgehen, die Nutzer zu 
sensibilisieren, unterscheiden sich die Angebote wenig von denen in der 
Schweiz oder in Deutschland. Zwar kommt die russische wie die dänische 


2 Statistik der Browser-Tests beim Schweizer Datenschutzbeauftragten 
http://152.96.120.35/statistik.cgi. 

3 Private deutsche Seite zum Browser-Test http://www ..gurusheaven.de/index_nav_01.htm. 
4 Browser-Test der amerikanischen Website Privacy.net http://privacy.net/analyze/. 

> umfangreiche dänische Privatseite zum Browsertest http://gemal.dk/browserspy/. 


Russische Browser-Testseite http://www.leader.ru/secure/who.html. 


Wer hilft bei der Wahrung der Anonymität? 149 


Site übersichtlich daher, aber bei den Erklärungen bleiben beide ähnlich 
wortkarg wie die Schweizer. Dagegen verdienen sich die Amerikaner Lor- 
beeren, weil sie zusätzlich zum Test des Browsers die Funktionsweise von 
Cookies demonstrieren. Doch die marktschreierische Tendenz ihrer Seiten 
geht zu Lasten der Übersichtlichkeit. 


Zweifelhaft wird das Anliegen der Sensibilisierung dort, wo es durch an- 
dere Absichten überlagert wird. So zeigen bereits die dänischen Webseiten 
die Tendenz, in einem überbordenden Spieltrieb die eigene technische 
Kompetenz unter Beweis zu stellen. Auch der kommerzielle Hintergrund 
einer privaten deutschen Seite mag noch akzeptabel sein.’ Ein regelrecht 
abschreckendes Beispiel liefert dagegen der Virenschutz- und Firewall- 
Hersteller Symantec. Der angebliche Test des Browsers wird ohne jede 
Erläuterung durchgeführt und als Ergebnis wird in knappen Worten ein 
diffuses Bedrohungsszenario entworfen. Abhilfe schaffe, wie könnte es 
anders sein, das hauseigene Produkt einer persönlichen Firewall. 


Einen Lichtblick bietet dagegen zumindest ansatzweise die Computer-Zeit- 
schrift c’ t mit ihrem "Browser-Check".? übersichtlich werden die verschie- 
denen Komponenten erklärt und vorgeführt. Zudem lässt das Angebot die 
Anwender nach der Demonstration nicht im Stich, sondern führt auch vor, 
welche Einstellungen sicherheitshalber im Browser vorgenommen werden 
sollten. Nachteilig für unbedarfte Interessenten dürfte jedoch der Hang 
zum Fachchinesisch bei den Erläuterungen sein. 


Seltsamerweise scheint das Thema für alle Anbieter mit dem Absichern des 
Browsers erschöpft zu sein. Eine Ausnahme bildet allein die amerikanische 
Site, die immerhin Verweise auf weitergehende Möglichkeiten, die Privat- 
sphäre zu sichern, vorsieht. Die Schweizer machen diesen positiven Ansatz 
allerdings mehr als wett, wenn sie behaupten, "dass der Web-Server obige 
Informationen über Sie erhält, kann zurzeit nicht verhindert werden und ist 
teilweise technisch notwendig." (Die "obigen Informationen" meinen die 
numerische Adresse des Rechners, das Betriebssystem usw.). Ausgerechnet 
auf einer Seite, hinter der die Anwender ausreichende Kompetenz vermu- 
ten sollten, werden sie durch solche Behauptungen geradewesgs in die Irre 
geführt. 


4 Wege zur Anonymität 


Die Anstrengungen, die beispielsweise der in Gründung befindliche Darm- 
städter Verein @nonymouse unternimmt, werden mit solchen Aussagen 
vollständig ignoriert. Seit 1997 bieten die Betreiber ihren Dienst an, Web- 


7 private Browser-Testseite mit kommerziellem Hintergrund http://www.hirnbrauser.de/. 


8 Sicherheits- und Browser-"Analyse" für Windows-Rechner von der Firma Symantec 
http://security2.norton.com/de. 


9 Browser-Check der Zeitschrift € t http://www.heise.de/ct/browsercheck/. 
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seiten anonymisiert aufrufen zu können.!® Dafür stellt @nonymouse einen 
Mittler, einen Proxy, zur Verfügung. Anwender haben so die Möglichkeit, 
Web-Seiten über den Mittler anzufordern. Der eigentliche Anbieter kann in 
diesem Fall nur den Zugriff des Proxys protokollieren. Anfang 2002 er- 
weiterte @nonymouse den Funktionsumfang seines Dienstes, sorgte für 
eine bessere Anbindung und will demnächst auch den verschlüsselten 
Abruf anderer Seiten ermöglichen. Nach Auskunft des Pressesprechers der 
Initiative, Andreas Billion, kann sich der Dienst über mangelnde Beliebt- 
heit nicht beklagen. Einige Millionen anonymisierter Seiten pro Monat 
registrieren die Betreiber. 


Einen etwas anderen Zugang ermöglichen Sites wie allgemeiner-daten- 
schutz.de!! und AnonymSurfen.com!?. Sie bieten Zugriff auf verschiedene 
Anonymisierungsdienste. Die Handhabung ist ähnlich einfach gestaltet wie 
bei @nonymouse: URL eingeben, zusätzlich den Dienst auswählen und auf 
"Go" klicken. Schon kann der Besucher den in der Karibik angesiedelten 
Dienst Guardster!? benutzen. Daneben vermitteln die Auswahlen auch den 
Seitenaufruf über @nonymouse, Metaspinner!* und Megaproxy!5. 


Wer an seinem Arbeitsplatz Wert auf die Privatsphäre legt, und die neugie- 
rigen Kollegen am Spionieren hindern möchte, muss bei den verschiede- 
nen Proxys auf die Feinheiten achten. Sonst ist in den Protokolldateien 
immer noch zu sehen, welche Adresse über den Proxy aufgerufen wurde. 
Der Proxy sollte daher entweder eine nach dem SSL-Standard verschlüs- 
selte Verbindung bieten (Megaproxy bietet das an) oder, wie bei 
Guardster, die angeforderte URL verschlüsseln. Eine entsprechende Be- 
wertung, welcher Proxy was leistet, stellt ansatzweise AnonymSurfen zur 
Verfügung. Allerdings ist die prozentuale Einschätzung ("70 Prozent Si- 
cherheit") nicht nachvollziehbar, da die Kriterien zur Bewertung fehlen. 


Anonyme E-Mail 


@nonymouse, allgemeiner-datenschutz.de und AnonymSurfen verbinden 
ihr Angebot auch mit der Möglichkeit, anonym E-Mails zu versenden. Im 
Selbsttest, E-Mails von den Sites jeweils an die eigene Adresse zu verschi- 
cken, funktionierte allerdings nur der Versand über AnonymSurfen. Es 
stellt sich jedoch ohnehin die Frage, ob anonyme E-Mails über eine in der 
Regel ungesicherte Web-Schnittstelle abgeschickt werden sollten (die SSL- 
Verschlüsselung der Verbindung kann, wenn überhaupt, erst auf der Site 


10 @nonymouse anonymisiert den Aufruf von Webseiten http://nonymouse.com/. 


11 Zusammenstellung verschiedener Anonymisierungsdienste http://portal.allgemeiner -daten- 
schutz.de/. 


12 Zusammenstellung verschiedener Anonymisierungsdienste 
http://www.anonymsurfen.com/. 


13 Anonymisierungsdienst Guardster http://www .guardster.com/. 
14 Anonymisierungsdienst Proxyspinner http://www.proxyspinner.de/. 
15 Anonymisierungsdienst Megaproxy https://www.megaproxy.com/. 
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ausgewählt werden). Denn den Betreibern muss dafür ein Vertrauensvor- 
schuss entgegengebracht werden, der nicht zu rechtfertigen ist: Die E-Mail 
wird samt der Adresse, an die sie gehen soll, im Klartext auf den Server 
übertragen und erst dort verarbeitet. Besser wäre es daher, nur den bereits 
für den Empfänger verschlüsselten Text in die Eingabemaske zu kopieren. 


Eine E-Mail kann theoretisch sehr leicht anonymisiert werden. Sie besteht 
aus zwei Teilen: dem Text und den Kopfzeilen. Die Kopfzeilen enthalten 
die Hinweise auf den Absender. Wird die Mail an einen speziellen Mittler, 
einen Remailer, geschickt, entfernt der die Hinweise auf den Absender und 
leitet sie an den Adressaten weiter. Die Praxis fällt etwas komplexer aus, 
weil die Vertraulichkeit der Mail gewahrt werden soll. Deshalb wird sie für 
den Remailer verschlüsselt. Der dechiffriert die eigentliche Mail und leitet 
sie dann weiter. Bei diesem Vorgehen ist immer noch ein unnötiges Ver- 
trauen in den Betreiber des Remailers notwendig (ihm sind Absender, 
Adressat und Inhalt der Mitteilung zugänglich). Daher werden zwei oder 
mehr Remailer miteinander verkettet. Eine Mitteilung wird samt der Ad- 
resse, an die sie gehen soll, zuerst für den zweiten Remailer verschlüsselt. 
Danach wird die Mitteilung noch einmal für den ersten Remailer chiffriert. 
Der Erste kennt auf diese Weise nur den Absender, der Zweite nur den 
Adressaten und den Inhalt. (Um den Inhalt auch für den zweiten Remailer 
unleserlich zu machen, müsste die E-Mail ganz zu Anfang für den Empfän- 
ger verschlüsselt werden.) Das Funktionsprinzip der verketteten Remailer 
ist von der Briefwahl bekannt. Der Stimmzettel geht in einem eigenen 
Umschlag per Brief an das Wahlamt. Das Wahlamt entfernt den äußeren 
Umschlag mit der Adresse und für die Auszählung wird nur der innere 
Umschlag mit dem Stimmzettel berücksichtigt. Im Gegensatz zur her- 
kömmlichen Post können Remailer jedoch auch für anonyme Öffentliche 
Stellungnahmen in den Diskussionsforen des Usenet genutzt werden. 


Da es vorzuziehen ist, anonyme E-Mail auf dem eigenen Rechner zu erstel- 
len, wären Anleitungen, wie dabei vorzugehen ist, hilfreich. Seltsa- 
merweise tut sich hier eine Lücke au f. Während für die Verschlüsselungs- 
software PGP auch ausführliche Handbücher, etwa über Bielefelder Verein 
FoeBuD, im Netz zugänglich sind!®, fehlen Beschreibungen, die sich des 
Umgangs mit Remailern Schritt für Schritt annehmen. Eine Ausnahme bil- 
den die Seiten des Datenschutzaktivisten Kai Raven. Er stellt sowohl den 
Windows-Client Quicksilver!” als auch das Mixmaster-Programm für Li- 
nux! in aller gebotenen Ausführlichkeit vor. 


Raven steht mit seinen Anleitungen relativ allein da. Es scheint als würden 
die mit den Programmen gelieferten Installations- und Gebrauchsanwei- 
sungen weithin als ausreichend angesehen. Da sie in der Regel auf Eng- 
lisch daherkommen, und viele Anwender schon bei deutschen Handbü- 


16 PGP-Handbuch beim FoeBuD. http://www foebud.org/pgp/html/index.html. 


17 Kai Ravens Einführung in Quicksilver. 
http://kai.iks-jena.de/quick/quickkonzept.html. 


18 Kai Ravens Einführung in Mixmaster. 
http://kai.iks-jena.de/misc/mixlinux.html. 
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chern ins Stolpern geraten, sind hier Zweifel angebracht. Raven bestätigt 
das: "Für Leute, die zum ersten Mal mit der Software arbeiten, ist sie ein 
Graus." 


Informationen zur Anonymität im Netz 


Ähnlich schweigsam gibt sich das Netz bei avancierteren Projekten, wie 
etwa Publius!? oder Freenet, die anonymes Publizieren erlauben. Allen- 
falls geben im Netz veröffentlichte Zeitschriften-Artikel einen groben Ü- 
berblick über ihre Funktionsweise. Für genauere Informationen müssen 
Anwender die akademische (Publius) oder gut gemeinte (Freenet) Doku- 
mentation der jeweiligen Projekte zu Rate ziehen. 


Die einschlägigen Web-Seiten zum Thema Anonymität präsentieren vor 
allem Link-Listen. Sie konzentrieren sich überwiegend eher auf Werkzeuge 
und Projekte als auf entsprechende Anleitungen. Da die Autoren zudem 
vielfach die Links eher sammeln als bewerten, finden sich unter den Ver- 
weisen auf Hilfestellungen von eher zweifelhafter Qualität.2!1 Ansatzpunkte 
für eine Entdeckungsreise in Sachen Anonymität durchs Netz stellt der 
Journalist Burkhard Schröder zur Verfügung.? Artverwandte Themen 
können über den von Kai Raven betreuten Krypto & Privacy Web-Ring2? 
angesteuert werden. 


Um konkrete Verständnisfragen zu klären, eignen sich die Diskussions- 
gruppen des Usenet. Für eher technische Themen wäre 
de.comp.security.misc geeignet, während gesellschaftliche und rechtliche 
Aspekte nach de.soc.datenschutz gehören. An englischsprachigen Nach- 
richtengruppen stehen comp.security.pgp.discuss und alt.security.pgp für 
Fragen rund um PGP zur Verfügung, während sich die Gruppe 
alt.privacy.anon-server mit anonymen Remailern befasst. Als erster Schritt 
in das Medium eignet sich das Archiv von Google??. Es zieht zum einen 
die themenorientierte Struktur des Usenet nach, und schon die Suchfunk- 
tion kann viel Hilfreiches zu Tage fördern. Einen Zugang zum Usenet bie- 
ten in der Regel die Provider (bei T-Online etwa über news.t-online.de). Es 
empfiehlt sich vorher einige Zeit in den Gruppen mitzulesen, bevor man 
selbst Fragen stellt oder andere Mitteilungen beantwortet. Der Umgangston 
fällt mitunter etwas ruppig aus, und die regelmäßigen Autoren im Usenet 
geraten leicht ins Granteln, wenn die geltenden Spielregeln missachtet 


19 Homepage von Publius http://csl.cs.nyu.edu/-waldman/publius/. 
20 Projektseite von Freenet http://freenet.sourceforge.net/. 


21 nicht empfehlenswert wegen teilweise fehlerhafter Informationen 
http://www. .easy.to/privacy/. 


22 Burkhard Schröders Linkliste zu Anonymität http://www.burks.de/krypto.html#Anon. 


23 Übersicht: Krypto & Privacy Web-Ring 
http://www.webring.de/cgibin/webring/seiten_liste?zweck=webring_goto&SeitenStatus=frei- 
geschaltet&WebringID=3739. 


24 Usenet-Archiv bei Google http://groups.google.de/. 


Wer hilft bei der Wahrung der Anonymität? 153 


werden. Trotzdem finden sich gerade im Usenet immer wieder äußerst 
kompetente Gesprächspartner. Eine weitere Möglichkeit, auf das Wissen 
anderer zurückzugreifen, bieten die vom Virtuellen Datenschutzbüro be- 
triebenen Mailing-Listen, die sich explizit mit Anonymität befassen.?? Mög- 
licherweise eignen sich diese Mailing-Listen besser für den Einstieg, weil 
sie über das vertraute Medium E-Mail laufen. 


7 Anonymität als Thema außerhalb des Internet 


Außerhalb des Internet Unterstützung für Anonymität im Netz zu finden, 
erweist sich als schwieriges Unterfangen. Als erste Anlaufstelle bietet sich 
die DFN-CERT GmbH an. Der Deutsche Forschungsnetz-Verein (DFN) 
betreibt das gleichnamige Netz, über das die deutschen Universitäten an 
das Internet angebunden sind. Und auch hierzulande begann die Vernet- 
zung zuerst im akademischen Bereich. Das Computer Emergency Res- 
ponse Team (CERT) übernimmt die Rolle einer Feuerwehr bei Sicherheits- 
problemen. Zudem wird beim CERT die Kompetenz für die Sicherheit der 
Informationstechnik (IT) gebündelt. Doch laut Klaus Möller, wissenschaft- 
licher Mitarbeiter des CERT, "spielt das Thema Anonymität eine Neben- 
rolle, auch wenn es technisch attraktiv ist." Das spiegelt sich denn auch in 
den öffentlichen Workshops des CERT, wo Anonymität eher am Rande zur 
Sprache kommt. 


Eine für Fragen der Anonymität falsche Adresse im Bildungsbereich stellen 
bislang die Volkshochschulen dar. Bei ihnen stehen noch Veranstaltungen 
wie "Erste Schritte am PC" oder "Einführung in das Desktoppublishing" im 
Vordergrund. Wer sich über Datenschutzthemen informieren möchte, wird 
fast vollständig enttäuscht. Allenfalls die Anleitung zur fragwürdigen In- 
stallation einer lokalen Firewall geht zumindest in die Richtung, den Rech- 
ner besser absichern zu wollen. 


Ähnlich verhält es sich im Bereich der Behörden. Im Frühjahr 2002 über- 
nahm die Bundesakademie für öffentliche Verwaltung (BAkÖV) die Schu- 
lungs- und Weiterbildungsaufgaben für Behördenmitarbeiter vom Bundes- 
amt für Sicherheit in der Informationstechnik (BSD. Dem BSI bleibt der 
Auftrag, den Bundesdatenschutzbeauftragten in technischen Fragen zu 
beraten. Bei der BAkÖV hingegen befindet sich das Angebot im Bereich 
Informationstechnik noch im Aufbau. Und auch dort wird es allenfalls im 
Rahmen der IT-Sicherheit abgehandelt werden. 


Nur an den Schulen zeigt sich ein etwas anderes Bild. Zumindest für die 
Gymnasien sehen die Informatik-Lehrpläne aller Bundesländer Daten- 
schutz als Unterrichtsthema verbindlich vor. Inhaltlich zielen die Vor- 
schriften zum einen auf eine Beschäftigung mit den entsprechenden Ge- 
setzen. Zum anderen stellen die Lehrpläne den Zusammenhang von Da- 
tenschutz und Datensicherheit her. Gemeint sind damit Mechanismen der 


25 Mailing-Listen des Virtuellen Datenschutzbüros zum Thema Anonymität 
http://www .datenschutz.de/(de)/foren/anonymitaet/. 
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Zugriffsberechtigung oder der Missbrauch von Datenbanken. In Schleswig- 
Holstein sollen dann in Klasse 13 "Sicherheitsaspekte der Nutzung des 
Internets" behandelt werden. Die Praxis sieht allerdings, nach Auskunft 
eines Lübecker Lehrers, häufig anders aus. Meist richtet sich die Unter- 
richtseinheit zum Datenschutz nach den speziellen Kenntnissen der jewei- 
ligen Lehrer, verrät sein Hamburger Kollege. Ob die Schufa thematisiert, 
der Datenschutzbeauftragte eingeladen oder Anonymität besprochen wird, 
liegt also im Ermessen der Lehrer. 


Anonymität gehört auch in der Arbeitswelt zu den vernachlässigten The- 
men. Die Unternehmen legen zwar sehr viel Wert auf die IT-Sicherheit, 
aber damit meinen sie in erster Linie den Schutz ihrer Infrastruktur. So 
führt Martin Lesser von Better-Com bei Schulungen häufiger vor, welche 
Informationen seine Zuhörer beim Surfen preisgeben. Damit sorgt er zwar 
für ein Aha-Erlebnis, eine Nachfrage nach weitergehenden Kenntnissen 
provoziert er damit jedoch nicht. Zudem ist den Unternehmen an der A- 
nonymität ihrer Mitarbeiter häufig gar nicht gelegen, weil sie deren Akti- 
vitäten gerne überprüfen oder gezielt einschränken möchten. Daher hat 
die Dienstleistungsgewerkschaft ver.di eine Kampagne "Online-Rechte für 
Beschäftigte"? ins Leben gerufen. Sie soll dazu führen, dass der Daten- 
schutz für Arbeitnehmer gesetzlich verankert wird. Zu den Schwerpunkten 
der Aktion gehört auch der Schutz vor den Schnüffeleien durch Vorge- 
setzte. Anonymität sei in diesem Rahmen zwar interessant, aber noch nicht 
berücksichtigt worden, so Cornelia Brandt, die das Projekt bei ver.di leitet. 


Inwieweit das Bemühen der Gewerkschaft von Erfolg gekrönt sein wird, 
lässt sich noch nicht absehen. Gerade am Arbeitsplatz ist die Verfügungs- 
gewalt der Anwender über den Rechner oft genug begrenzt. Wenn sie dort 
zusätzliche Software zur Sicherung ihrer Privatsphäre installieren möchten, 
wie es etwa bei JAP?’ erforderlich ist, kommt es zu Interessenkonflikten, 
wie Burkhard Schröder erzählt. Schröder führt auch Schulungen für seine 
Journalistenkollegen durch und muss vor Ort häufiger die Erfahrung ma- 
chen, dass ihm ein "jungfräulicher PC zur Verfügung gestellt wird." Den 
richtet er für die Schulung ein "nur um am Ende zuzusehen, wie die Ad- 
ministratoren ihn wieder in den ursprünglichen Zustand versetzen." Es sind 
die von den Administratoren entworfenen Richtlinien für die Arbeitsplatz- 
rechner, die den Einsatz von Software zur Sicherung der Privatsphäre ver- 
hindern; denn die IT-Abteilung ist vor allem an pflegeleichten Computern 
interessiert. Zusätzliche Software vermehrt für sie nur die Anzahl der Feh- 
lerquellen, die wiederum ihren Zeitaufwand für die Betreuung erhöhen. 


Zuletzt bleiben außerhalb des Netzes nur die klassischen Medien übrig, 
wenn es um Fragen der Anonymität geht. Die Computer-Zeitschriften, wie 
etwa c’t, greifen das Thema immer wieder auf und informieren über neue 
Entwicklungen. Im Buchmarkt sticht das Buch "Datenjagd im Internet" von 


26 Die ver.di-Kampagne für Datenschutz am Arbeitsplatz http://www.onlinerechte-fuer-be- 
schaeftigte.de/. 


27 Java Anon Proxy (JAP) http://anon.in f.tu-dresden.de/. 
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Christiane Schulzki-Haddouti hervor. Die Autorin gibt darin einen weit 
gespannten Überblick beginnend bei den Motivationen für die Datensam- 
melei, über die Möglichkeiten des Schutzes der persönlichen Daten bis hin 
zu den Auseinandersetzungen, die sich immer wieder am Datenschutz 
entzünden. 


8 Keine Nachfrage nach Anonymität? 


Die insgesamt eher unbefriedigende Situation in Bezug auf Hilfestellungen 
zur Anonymität zeigt es an: Anonymität wird derzeit allenfalls von Spezia- 
listen thematisiert. Dafür dürfte eine ganze Reihe von Gründen verant- 
wortlich sein. Eine erste Barriere lässt sich im "Paranoia-Problem" ausma- 
chen. Bevor Anonymität durch technische Maßnahmen hergestellt wird, 
müssen sich die Anwender zu einer Verschiebung ihrer Wahrnehmung 
durchringen. Anstatt eine Web-Seite einfach anzufordern, wäre mit dem 
Aufruf die Frage verbunden, welche persönlichen Informationen diesen 
Mausklick begleiten. Voraussetzung dafür ist ein generelles Misstrauen. 
Misstrauen gegenüber der eigenen Software, zunehmend auch gegenüber 
der Hardware und gegenüber den Anbietern von Inhalten im Internet. Aus 
der Alltagsperspektive betrachtet, ist diese Haltung mindestens ungewöhn- 
lich. Den Eindruck, hier mit einer Spielart des Verfolgungswahns konfron- 
tiert zu werden, verstärken jedoch auch die Einführungen in das Thema. 
Anhaltspunkte finden sich bereits in den ersten Einführungen, wie in 
Andrä© Bacards noch von 1996 stammender FAQ zu Remailern® (die 
deutsche Übersetzung leistete Lutz Donnerbacke“?). Im letzten Abschnitt, 
den er treffend mit "Nur für Paranoiker" überschreibt, spielt er durch, wie 
der Benutzer eines Remailers sicher gehen kann, anonym zu bleiben. 
Schrittweise erörtert Bacard mögliche Schwachstellen im Verfahren der 
anonymen Übermittlung und zeigt die jeweilige Lösung au f. Damit ver- 
deutlicht er zwar das Konzept der anonymen Remailer, demonstriert aber 
gleichzeitig, dass er seine Überschrift ernst meint. 


Eine andere Ursache für das Mauerblümchendasein der Anonymität be- 
steht in ihrer Wahrnehmung als Appendix der IT-Sicherheit. Damit legt 
sich der Schleier des scheinbar Schwierigen und Komplexen über das 
Thema. Schon bei der Abwehr von Viren fehlt größtenteils das Verständ- 
nis, welche Maßnahmen hilfreich sind. Wenn die Anwender es vorziehen 
Placebo-Software wie Personal Firewalls auf dem heimischen PC zu instal- 
lieren, anstatt die überflüssigen Dienste des Betriebssystems abzuschalten, 
zeigen sie mehr ihren guten Glauben an die Software-Hersteller als ihre 
Kompetenz in Sicherheitsfragen. Anonymität mit ihren möglichen Anforde- 
rungen an Verschlüsselung liegt aus dieser Perspektive in weiter Ferne. 


28 Andrä© Bacards Remailer-FAQ http://www.andrebacard.com/remail.htnil. 


29 Lutz Donnerhackes Übersetzung der Remailer-FAQ 
http://www.iks-jena.de/mitarb/lutz/anon/remail.html. 
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Dazu gesellt sich die Schwierigkeit der Vermittlung. Abgesehen von dem 
ohnehin in jedem Computer-orientierten Gespräch vorherrschenden Tech- 
no-Pidgin, stellt sich gerade beim Thema Anonymität immer wieder der 
unnötige Zusammenhang von Anwendung und Konzept dem Verständnis 
entgegen. Bacards bereits angesprochene Darstellung der anonymen Re- 
mailer liefert das Muster dafür. Bei ihm erscheint es notwendig, die Über- 
legung, die zu anonymen Remailern geführt hat, nachzuvollziehen, um sie 
selbst nutzen zu können. Jüngere Projekte wie JAP folgen diesem schlech- 
ten Beispiel und schlagen bei den Erläuterungen zum Programm einen 
überaus umständlichen Weg ein. Die damit einhergehende Unterstellung 
lautet, Anwender müssten erst das Konzept des Chaum’ schen Mix begrei- 
fen, um JAP sinnvoll einzusetzen. Für Freaks und Fachjournalisten oder mit 
dem Projekt befasste Entwickler und Wissenschaftler mag diese Form der 
Ansprache korrekt sein. An den normalen Anwendern geht sie vorbei, 
denn die fragen sich zurecht: Muss ich wirklich das Rezept kennen, um 
den Kuchen zu essen? 


Zwei weitere Momente, die Licht auf das Nischendasein der Anonymität im 
Internet werfen, lassen sich durch die Erfahrung des kanadischen Soft- 
ware-Herstellers Zero Knowledge Systems (ZKS) illustrieren. ZKS betrieb 
eine teure und komplexe Infrastruktur, die Käufern ihrer Freedom-Soft- 
ware zur Verfügung stand, um sich anonym im Netz bewegen zu können. 
ZKS musste jedoch feststellen, dass die Software zwar installiert und aus- 
probiert wurde, dann jedoch nicht zum Einsatz kam. Offensichtlich spielte 
es für die Freedom-Anwender eine erhebliche Rolle, dass sie beim Surfen 
im Web durch die dazwischengeschaltete Software ausgebremst wurden. 


Schließlich musste ZKS den Dienst im Herbst 2001 einschränken, weil sich 
zu wenig Kunden fanden. Ähnlich erging es dem amerikanischen Anbieter 
Safeweb, der einen anonymisierenden Proxy betrieb. Nachdem Safeweb 
von einem werbefinanzierten zu einem kostenpflichtigen Geschäftsmodell 
wechselte, musste der Dienst im Sommer 2001 eingestellt werden. Und das 
obwohl der Service, solange er umsonst zur Verfügung stand, viele Nutzer 
angezogen hatte. 


Ob Geschäftsmodelle rund um Anonymität tatsächlich zum Scheitern ver- 
urteilt sind und generell das Motto gilt: "Schnell muss es sein, umsonst 
muss es sein", hängt stark von anderen Entwicklungen ab. Andreas Billion 
von @nonymouse nennt die staatliche Regulierung des Internet als Bei- 
spiel: Großbritannien habe "erhebliche Anstrengungen unternommen, das 
Internet nachhaltig zu zensieren und zu überwachen", so Billion, daher sei 
"der Zulauf bei @nonymouse aus England entsprechend groß." Die Diskus- 
sion um die Vorratsdatenspeicherung in Deutschland sorgt bei seinem 
Verein zusätzlich für Motivation den eigenen Service weiter zu entwickeln. 


Auch Ulf Möller, Berater beim Münchener E-Business-Spezialisten Secardeo 
und beteiligt an der Entwicklung des Mixmaster?®, einer Spielart der ano- 
nymen Remailer, geht davon aus, dass die Problematik von Datenschutz 


30 Projektseite von Mixmaster http://mixmaster.sourceforge.net/. 
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und Anonymität den Anwendern zunehmend bewusst werden wird. Allein 
die aktuellen Planspiele der Musikindustrie bestätigen Möllers Ansicht. Die 
Unternehmen erwägen seit geraumer Zeit den Vertrieb der Musik übers 
Internet, und Anonymität haben sie dabei gar nicht erst vorgesehen. 


9 Fazit 


Bei solchen Aussichten wirkt das Fazit wenig erfreulich: Um Hilfestellun- 
gen zum Thema Anonymität im Internet ist es nicht gut bestellt. Anwender 
sind vollständig auf das Netz angewiesen, und dort beherrscht viel Stück- 
werk die Szenerie. Zudem müssen die Nutzer aktuelle und korrekte Infor- 
mationen, die überwiegend auf privaten Initiativen beruhen, selbst zu- 
sammensuchen. Eine wünschenswerte Website, die sich darum bemüht, 
die mögliche Fülle der Informationen sorgfältig zusammenzustellen und 
ansprechend zu vermitteln, fehlt. Um Anonymität das Spezialisten-Image 
zu nehmen und zu popularisieren, sollte die Entwicklung einer entspre- 
chenden Site angestoßen werden. Mit einer Kopie als CD-Rom ließen sich 
dann möglicherweise auch die herkömmlichen Fortbildungsangebote be- 
reichern. 





Tools für Anonymität 


Christian Krause 


Anonymität im Netz ist leider keine Selbstverständlichkeit. Surfer werden 
beliebig markiert, verfolgt und untersucht, weil sie potentielle Kunden 
oder potentielle Terroristen sind. Die Vermeidung der allgegenwärtigen 
Datenspuren ist dabei durchaus möglich. Allerdings setzen viele Anwender 
auf einzelne Programme oder Maßnahmen, ohne dabei ihr Gesamtsystem 
einer kritischen Betrachtung zu unterziehen. Um Anonymität im Netz zu 
gewährleisten, müssen jedoch alle verwendeten Softwarekomponenten 
überprüft und aufeinander abgestimmt werden. Die zunehmende Ver- 
knüpfung vieler Programme mit dem Internet macht es dem Nutzer dabei 
nicht einfach, den Überblick und die Souveränität über seine Daten zu 
behalten. 


Bevor wir uns den eigentlichen Anonymitätstools widmen, werfen wir 
daher einen kurzen Blick auf die Basis-Software: Firewall und Browser. 


1 Wissen, was los ist: Personal Firewall 


Die grundlegende Maßnahme, um den Datenfluss zu kontrollieren, ist die 
Installation einer Personal Firewall. Normalerweise liegt das Hauptaugen- 
merk beim Betrieb einer Firewall auf der Abwehr unberechtigter Zugriffe 
von außen, also einer Kontrolle des Inbound Traffic. Im Unterschied zu 
den „großen“ Firewalls, die meist auf eigenständigen Rechnern laufen und 
den Datenverkehr für ganze Netzwerke filtern, handelt es sich bei Personal 
Firewalls um Anwendungen, die direkt auf dem Arbeitsplatzrechner laufen. 
Dieser Umstand ermöglicht es, die Zugriffe von innen nach außen, den 
Outbound Traffic, feinkörnig zu filtern. Personal Firewalls arbeiten im 
allgemeinen mit Regeln für einzelne Anwendungen. So wird beispielsweise 
Port 80 nicht generell freigegeben, sondern nur dem Browser erlaubt, die- 
sen zu verwenden. Andere Programme werden auf Port 80 geblockt. Das 
ist zum Beispiel sinnvoll, wenn das Mailprogramm selbsttätig und unge- 
fragt Bilder in HTML-Mails aus dem Web nachlädt. Der Nutzer behält so 
die Kontrolle darüber, welche Verbindungen von der eigenen Software 
aufgebaut werden. 


Zu beachten ist hierbei, dass nicht alle Personal Firewalls ein bedingtes 
Zulassen von Programmen ermöglichen. Das weit verbreitete Programm 
ZoneAlarm! beispielsweise bietet nur die Möglichkeit, pro Applikation zu 
entscheiden, ob eine Verbindung aufgebaut werden darf oder nicht. Be- 


l ZoneAlarm Firewall: http://www.zonelabs.com/. 
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schränkungen auf einzelne Ports oder Protokolle sind nicht möglich. Das 
reicht zwar aus, einfache Trojaner auf dem System zu entlarven, wenn 
diese selbsttätig ins Netz gehen wollen, eine umfassende Kontrolle ist je- 
doch nicht möglich. Sinnvoller sind in diesem Zusammenhang Programme 
wie die Kerio Personal Firewall, die für jede Applikation separat die er- 
laubten Ziel-IPs, Protokolle und Ports definieren kann. Ein zusätzlicher 
Zeitfilter ermöglicht sogar Regeln in Abhängigkeit von der Tageszeit’. 


Eine Personal Firewall stellt aus mehreren Gründen die Basis für sicheres 
und anonymes Surfen dar. Zum einen gewährt sie Schutz vor Angreifern 
von außen, zum anderen ermöglicht sie die Kontrolle des ausgehenden 
Datenverkehrs. Beides sind essentielle Voraussetzungen für die sinnvolle 
Verwendung von Anonymitätstools. Insbesondere der Umstand, dass keine 
Anwendung, sei es ein Trojaner, Spyware oder Microsofts Mediaplayer, 
ungefragt Daten nach außen versenden kann, stellt einen wichtigen Eck- 
pfeiler für die Anonymität im Netz dar. 


2 (Scheunen)tor zur Welt: Der Browser 


Die Wahl des Browsers ist für viele Internetnutzer keine Frage mehr, seit 
der Internet Explorer fest in die Windows-Betriebssysteme integriert ist. 
Ähnlich wie das Werksradio im Neuwagen ist der Internet Explorer aber 
nicht unbedingt die beste Wahl, was die regelmäßig aufgedeckten Sicher- 
heitslöcher* eindrucksvoll belegen. Nicht zuletzt die ActiveX-Technologie, 
die sogar die Installation fremder Software auf dem eigenen PC per Web- 
seitenaufruf ermöglicht, ist ein Grund, auf diesen Browser zu verzichten. 
Sinnvolle Alternativen stellen hier Mozilla und seine Derivate? sowie der 
Norwegische Browser Opera dar. Sie bieten zwar nicht per se größere 
Anonymität, dafür aber weniger Möglichkeiten, diese auszuhebeln. 


Aber auch Funktionen, die für das anonyme Surfen wünschenswert sind 
und ansonsten über externe Tools realisiert werden müssen, fehlen dem 
Microsoft Browser. Opera oder die Mozilla/Netscape Produkte hingegen 
bieten hier von Haus aus mehr. So lässt sich zum Beispiel der Referer un- 
terdrücken, der normalerweise beim Anklicken eines Links der Zielseite 
mitteilt, von welcher Seite der Surfer kommt und was er dort womöglich in 
eine Suchmaske eingetragen hat. Mozilla ermöglicht auch das Blockieren 
von Grafiken bestimmter Server -— Werbeeinblendungen von Agenturen mit 


2 Kerio Personal Firewall: http://www ..kerio.com/us/kpf_home.html. 
3 Eine gute Einführung in die Erstellung von Firewall-Regeln gibt http://faq.at/firewalls. 


í Eine Liste bislang nicht behobener Sicherheitslücken im Internet Explorer: 
http://www.pivx.com/larholm/unpatched/. 


5 Mozilla (http://www.mozilla.org/) stellt die Basis vieler neuer Browser dar. So fußt auch 
Netscape 7 auf dem OpenSource Browser. Eine weitere Variante, die speziell auf Daten- 
schutzaspekte hin optimiert ist, stellt Beonex (http://www.beonex.com/) dar, für den derzeit 
allerdings noch keine deutschsprachige Oberfläche zur Verfügung steht. 
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zentralen Servern (und die daraus resultierenden Cookies) lassen sich so 
leicht verhindern. 


Ein ernsthaftes Problem für alle Browser stellen hingegen Scriptsprachen 
dar. Dieser in HTML-Seiten eingebettete Programmcode wird auf dem 
Rechner des Benutzers ausgeführt und bedeutet, je nach Mächtigkeit der 
Scriptsprache, eine massive Gefahr für die Anonymität. ActiveX als prop- 
rietäre Microsoft Technologie findet sich nur im Internet Explorer und 
ermöglicht Angreifern im schlimmsten Falle den vollständigen Zugriff auf 
den Rechner. Wer den Internet Explorer unbedingt benutzen will, tut gut 
daran, ActiveX komplett zu deaktivieren. Webseiten, deren Funktion aus- 
schließlich von ActiveX-Komponenten abhängt, sind selten, so dass im 
allgemeinen kein Verlust an Funktionalität eintritt. Gleiches gilt für 
VBScript, das ebenfalls nur der Internet Explorer unterstützt. 


Eine im Hinblick auf die Nutzbarkeit von Webseiten schwer zu knackende 
Nuss ist dabei JavaScript®. Diese ursprünglich von Netscape entwickelte 
Scriptsprache wird vor allem für optische Effekte und dynamische Ele- 
mente genutzt. Sie ermöglicht aber neben diesen „zivilen“ Funktionen 
auch das Auslesen einer Reihe von Daten über den Nutzer. Die alten 4.x 
Versionen von Netscape gaben per JavaScript sogar die IP-Adresse be- 
kannt, so dass auch bei der Benutzung eines Anonymitätsdienstes durch 
die Hintertür die echte IP-Adresse ausgelesen werden konnte. Darüber 
hinaus haben die einzelnen Implementierungen der Scriptsprache in den 
Browsern mitunter Fehler, die für Angriffe von außen ausgenutzt werden 
können. Die einfachste Lösung für dieses Problem besteht freilich darin, 
die Unterstützung für JavaScript einfach auszuschalten. Mit zwei bis drei 
Mausklicks ist der Spuk vorbei. Der Nachteil dieser Strategie ist jedoch, 
dass JavaScript-Elemente auf vielen Webseiten elementare Bestandteil wie 
zum Beispiel Navigationsleisten steuern. Ein vollständiger Verzicht auf 
JavaScript hieße dabei auch Verzicht auf diese Webseiten. Hier hilft nur ein 
externer Filter - womit wir bei den eigentlichen Tools angelangt wären. 


6 Microsoft hat JavaScript um einige Sicherheitslücken erweitert und nennt das entsprechend 
„ActiveScripting“. 
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3 Anonymitätstools: Surfer’s little helper 


Wenn man die einschlägigen Browsertests’ im Internet besucht, stellt man 
schnell fest, dass dort erstaunlich viele Details über den eigenen Rechner 
auftauchen. Die wenigsten dieser Daten lassen einen direkten Personenbe- 
zug zu, jedoch besteht immer die Möglichkeit, diese in Kombination mit 
anderen Daten zur Identifizierung des Surfers einzusetzen. Durch die 
Kombination von Einzeldaten werden Beziehungen hergestellt. Aus diesen 
Beziehungen entstehen Informationen. Es sollte also vorrangiges Ziel sein, 
so wenig Daten wie möglich nach außen zu übertragen, damit daraus 
keine Informationen werden. 


Grundlage anonymen Surfens ist zuerst das Verbergen bzw. Ersetzen der 
eigenen IP-Adresse. Diese vom Provider zugewiesene Adresse identifiziert 
den eigenen Rechner für die Dauer der Sitzung eindeutig. Abhängig vom 
Provider wird die Zuordnung, welcher Benutzer welche IP-Adresse ver- 
wendet hat, jedoch über einen längeren Zeitraum gespeichert -— wenn- 
gleich das nach geltender Rechtslage unzulässig ist. Mittels der gespei- 
cherten IP lässt sich jeder Webseitenbesuch noch auf Monate hinaus dem 
jeweiligen Nutzer zuordnen. Auch lässt die aktuelle IP-Adresse Rück- 
schlüsse auf den Standort und Provider des Surfers zu. Wer sich also wun- 
dert, in einem Online-Chat mit „Hallo, wie ist denn das Wetter in Kiel?“ 
begrüßt zu werden, der sollte einen Blick auf seine IP-Adresse werfen. 


Die Verschleierung der eigenen IP-Adresse geschieht über so genannte 
Proxydienste, die gegenüber der aufzurufenden Zielseite als Mittler auftre- 
ten, so dass die IP-Adresse des Nutzers dem Zielserver nicht bekannt wird. 
Stattdessen sieht der Anbieter die IP des Proxies. Es gibt verschiedene 
Varianten solcher Anonymitätsdienste, die von einzelnen Proxyservern bis 
hin zu einer Kette mehrerer hintereinander geschalteter Proxies reichen. 
Einzelne Anonymitätsproxies stellen Webseiten wie Rewebber.com oder 
the-cloak.com zur Verfügung. Man verwendet sie wie eine Webseite: Der 
Anonymitätsdienst wird im Browser aufgerufen und in ein Formularfeld 
auf dessen Webseite die gewünschte Zieladresse eingetragen. Der Proxy 
ruft dann die angeforderte Seite ab und entfernt aus dem HTTP-Verkehr 
alle potentiell personenbezogenen Informationen aus dem Header. Vor 
allem aber tritt der Zielseite gegenüber der Proxyserver und nicht der ei- 
gentliche Nutzer in Erscheinung. Allerdings ermöglichen diese Dienste 
keine wirkliche Anonymität. Zwar ist für die angesurfte Webseite nicht 


7 Browsertests im Internet: 

http://leader.ru/secure/who.html 

http://privacy.net/analyze/ 

http://www.gemal.dk/browserspy/ 

http://www.heise.de/ct/browsercheck/ 

http://gre.com/ (Der Test befindet sich unter dem Stichpunkt „ShieldsUP!“). 
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ersichtlich, wer da gerade vorbeischaut, der Betreiber eines solchen Diens- 
tes kann jedoch sehr wohl die Verknüpfung zwischen Benutzer-IP und 
aufgerufener Seite herstellen. Das Aufheben der „Anonymität“ liegt also 
nicht im Einflussbereich des Benutzers. Die FAQ® von the-cloak.com weist 
auf diesen Umstand offen hin: 


O: What if the Cloak is subjected to a court order or asubpoena? 


A: For your safety, you should assume that we will turn over log file entries 
if we are presented with a court order, subpoena, warrant, or other legal 
demand originating from a non-totalitatarian government entity. We do 
not have the resources to mount legal challenges. We do not know our 
users, and thus we cannot contact them to allow them to mount a chal- 
lenge. In practice, we may elect to decline to comply with law enforce- 
ment demands that we deem inappropriate, if we are outside their juris- 
diction. 


Starke Anonymität gewährleisten dagegen nur in Reihe geschaltete Proxies, 
so genannte Mixkaskaden. Da dem bekanntesten Vertreter dieser Technik, 
dem Projekt AN.ON, in diesem Band ein gesondertes Kapitel gewidmet 
ist?, sei dieses hier zur Vertiefung empfohlen. 


Hoher Wiedererkennungswert: Cookies 


Da IP-Adressen normalerweise dynamisch vom Provider vergeben werden, 
nutzen viele Webseiten eine weitere Methode, um ihre Besucher zu „mar- 
kieren“. Beim ersten Besuch der Seite wird mit Hilfe eines Cookies eine 
Identifikationsnummer auf dem Rechner des Besuchers abgelegt, die beim 
erneuten Aufruf der Seite ausgelesen wird. Dieser Cookie bedeutet an sich 
noch keine Gefahr für die Privatsphäre. Auf Seiten des Anbieters jedoch 
kann ein umfangreiches Datenprofil erstellt werden, das bei jedem erneu- 
ten Besuch verfeinert wird. Wenn der Webseite bereits bekannt ist, wer 
sich hinter einer bestimmten Identifikationsnummer verbirgt, beispiels- 
weise durch eine frühere Bestellung, ist der Besucher vom ersten Moment 
an dem Server „bekannt“. Da der Cookie schon beim Laden der Seite ü- 
bermittelt wird, weiß der Anbieter bereits, wer zu Besuch gekommen ist, 
wenn der Kunde noch das Angebot durchstöbert und sich womöglich 
anonym wähnt. Es versteht sich von selbst, dass diese Art der Wiederer- 
kennung dem Wunsch nach Anonymität zuwider läuft. 


Um der Cookies Herr zu werden, bieten sich mehrere Möglichkeiten an. 
Die einfachste besteht in der entsprechenden Konfiguration des Browsers. 
Dabei gilt es, Cookies abzulehnen, die über längere Zeit gespeichert sind 
(man spricht von persistenten Cookies), und nur die sogenannten Session- 
Cookies zu akzeptieren, die beim Schließen des Browsers gelöscht wer- 


8 The Cloak FAQ: http://www.the-cloak.com/anonymous-surfing-faq.html. 
9 Vgl. den Beitrag von Federrath, S. 172 ff. 
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den. Auf diese Weise ist man nur für die Dauer der Sitzung wiedererkenn- 
bar, nach einem Neustart des Browsers ist man dem Server wieder fremd. 
Diese Lösung bietet sich insofern an, als viele Seiten zumindest auf das 
Setzen eines temporären Cookies angewiesen sind und ihre Funktion an- 
sonsten gänzlich versagen. Die entsprechenden Einstelloptionen finden 
sich in allen gängigen Browsern. Die Browser der neuen Generation! 
ermöglichen zudem auch eine Einschränkung der Cookies auf Basis von 
P3P-Präferenzen!!, so dass die Akzeptanz von Cookies von der Daten- 
schutzerklärung der Webseite abhängig gemacht werden kann. 


Das Zusatztool CookieCooker geht einen anderen Weg. Hier werden Coo- 
kies erst einmal pauschal angenommen, um sie später mit anderen Nut- 
zern zu tauschen. Das geschieht automatisch im Hintergrund in einem 
vorbestimmten Zeitintervall. Werden Cookies vom Anbieter eingesetzt, um 
ein Nutzungsprofil des Surfers zu erstellen, wird das Profil auf diese Weise 
für den Datensammler nutzlos, da der Cookie mit der Identifikationsnum- 
mer über verschiedene Rechner wandert und somit unzusammenhängende 
Informationen ins Profil gelangen. Dies betrifft vor allem Cookies, die 
durch eingeblendete Werbebanner gesetzt werden. 


CookieCooker klinkt sich, wie viele andere Tools, als lokaler Proxy zwi- 
schen Browser und Webserver. Von dort filtert das Programm nicht nur 
Cookies, sondern auf Wunsch auch andere HTTP-Inhalte. Zusätzlich bietet 
das Programm einen automatischen und überaus kreativen Formularaus- 
füller für neugierige Webseiten. 


5 Web mit Reinheitsgebot: Filtertools 


Beim Aufruf einer Webseite geschieht oberflächlich betrachtet zunächst 
nicht viel: Man klickt auf einen Link und die Seite wird angezeigt. Im Hin- 
tergrund jedoch läuft eine umfangreiche Kommunikation zwischen dem 
Browser und dem Webserver an, in deren Verlauf der Browser nach und 
nach jedes Element der Webseite gesondert abruft. Er gibt dabei dem 
Webserver bekannt, wie er heißt (die so genannte Browserkennung), unter 
welchem Betriebssystem er läuft, welche Dokumenttypen verarbeitet wer- 
den können und den Referer-URL. Bei letzterem handelt es sich um die 
Adresse, über die die aktuelle Seite aufgerufen wurde. Nehmen wir als 
Beispiel an, Sie hätten mit der Suchmaschine Google nach den Worten 
„Guglhupf“ und „Rosinen“ gesucht. Beim Klick auf einen Link der Ergeb- 
nisseite sendet der Browser dann folgendes an den Server, der das Back- 
rezept bereit hält: 


GET /backrezepte/rosinen-guglhup f.html HTTP/1.1 
Host: rezepte.nit.at 


10 Gemeint sind der Internet Explorer ab Version 6 sowie Netscape ab Version 7. 
l1 Informationen zu P3P: http://www ..datenschutzzentrum.de/projekte/p3p. 
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User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; 
en-US; rv:1.1) Gecko/20020826 


Accept: 

cent /xml, application/xml, application/xhtml+xml, text/ht 
ml;q=0.9,text/plain;q=0.8,video/x- 

mng, image/png, image/jpeg, image/gif;q=0.2, text/css, */*; 
q=0.1 

Accept-Language: de-de, en-us;q=0.66, en;q=0.33 
Accept-Encoding: gzip, deflate, compress;q=0.9 
Accept-Charset: ISO-8859-1, utf-8;q=0.66, *;q=0.66 
Keep-Alive: 300 

Proxy-Connection: keep-alive 


Referer: http://www.google.com/search?hl=de&ie=UTF- 
8&oe=utf -8e&q=Guglhupf+tRosinen&btnG=Google- 
Suche&lr=lang_de 


Neben der erwähnten Browserkennung samt Betriebssystem sieht man in 
der letzten Zeile den besagten Referer. Er enthält im Falle der Suchma- 
schine Google auch gleich die eingegebenen Suchbegriffe. Hier wird sogar 
mitgeteilt, auf welche Taste geklickt wurde, um die Suchanfrage abzuschi- 
cken, nämlich der Button „Google-Suche“. Diese Angaben sind für den 
Seitenabruf vollständig überflüssig und im Falle des Referers für anonymes 
Surfen sogar hinderlich. 


Der schon erwähnte CookieCooker kann nicht nur Kekse tauschen, son- 
dern nebenbei noch den Referer filtern und die Browserkennung manipu- 
lieren. Auch der ursprünglich von Siemens entwickelte Webwasher!? klinkt 
sich als lokaler Proxy in den Datenstrom. Schwerpunkt dieses Tools ist das 
Entfernen von Werbebannern, es ermöglicht darüber hinaus jedoch auch 
das Blockieren von Webbugs und das Unterdrücken des HTTP-Referers. 
Das reine Anzeigen von Werbebannern ist unter Anonymitätsaspekten 
weniger problematisch, sofern ein Anon-Proxy wie der JAP verwendet 
wird. Die beim Werbetreibenden aufgezeichnete IP-Adresse ist in diesem 
Falle die des Mixservers. Das eigentliche Risiko geht vielmehr von Cookies 
aus, die diese Webseitenelemente setzen können. 


Die bislang aufgezeigten Lösungen bieten nur auf den HTTP-Verkehr be- 
schränkte Lösungen. Zwar kann der CookieCooker auch einige JavaScript- 
Befehle aus den empfangenen HTML-Seiten entfernen, eine weitergehende 
Filterung dieser aktiven Inhalte ist jedoch dringend notwendig. 


Umfangreiche Filtermechanismen, die sich zudem noch beliebig anpassen 
lassen, bietet die englischsprachige Freeware Proxomitron!. Zwar scheint 


12 WebWascher: http://www.webwasher.de/de/products/wwash/index.htm. 


13 Proxomitron Filter: http://www.proxomitron.org/. 
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die Optik des Programms den Swinging Sixties entlehnt!* (und daher heu- 
te leicht gewöhnungsbedürftig), die Filterfunktionen sind jedoch auf der 
Höhe der Zeit. Das Programm arbeitet prinzipiell wie JAP oder Coo- 
kieCooker als lokaler Filterproxy. Im Unterschied zu anderen Tools dieser 
Art ermöglicht es Proxomitron jedoch, eigene Filterregeln zu erstellen und 
so beliebige Codezeilen aus dem HTTP-Verkehr zu fischen. Die Filterre- 
geln lassen sich flexibel in Abhängigkeit vom Domainnamen einrichten, 
allerdings ist zur Erstellung ein gewisses Grundverständnis vom Aufbau 
einer HTML-Seite und dem zu filternden Code erforderlich. 


- The Proxomitron - default 


=> 


DESNE STi script</scripo) iso 1 


Yy 


ange m. 

W" i- (referrer plugins cookie 
colorDepthipixelDepthi 
external) Ihistory. length)? 


A = . u sr t 


¢!-- Killed Nosey JavaScript --> 





Abbildung 1: Proximotron Filterkonfiguration 


Einen ähnlichen Ansatz verfolgt Privoxy!?. Ebenfalls als universelles Filter- 
tool konzipiert, verzichtet Privoxy jedoch auf weitgehend auf eine gra- 
phisch geführte Konfiguration. Stattdessen liegen die Filterregeln in einer 
einfachen Textdatei vor, die mit einem beliebigen Editor angepasst werden 
kann. Der Vorteil dieser Vorgehensweise ist die leichte Portierbarkeit der 
Filterregeln auf andere Rechner und Betriebssysteme. Privoxy gibt es außer 
für Windows und Linux auch für Mac OS, OS/2 und sogar Amiga OS. Der 
Vorteil solcher Filtertools liegt auf der Hand: Wenn JavaScript erforderlich 
ist, um die Funktionalität der besuchten Webseiten zu gewährleisten, so 
kann man mittels eines Filterproxies diejenigen JavaScript-Befehle entfer- 


14 Die ins Deutsche übersetzte Version des Tools verwendet etwas sachlichere Farben. Zu- 
dem enthält sie eine umfangreiche Sammlung zusätzlicher Filterregeln. Download unter 
http://www.proxomitron.de/. 


15 Privoxy Filter: http://www.privoxy.org/. 
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nen, die die Anonymität gefährden könnten. Auch die noch ungepatchten 
Sicherheitslücken lassen sich so umgehen, indem der fragliche Befehl bis 
auf weiteres aus dem HTML-Code entfernt wird. Allerdings erfordert dieses 
Vorgehen neben Fleiß profunde Kenntnisse des zu filternden Codes. 


Schalten und Walten: JAP und Filterproxies kaskadieren 


Ein Anonymitätsdienst wie der JAP stellt lediglich die Grundlage für ano- 
nymes Surfen dar. Den Feinschliff übernehmen Filterproxies. Eine Schwie- 
rigkeit stellt in diesem Falle allerdings die Verbindung der verwendeten 
Tools untereinander dar. Sollen zwei lokale Proxies kaskadiert werden, 
entsteht eine Kette Browser > Proxy1 > Proxy2 > Internet. 


Da der JAP die ausgehenden Datenpakete verschlüsselt zum ersten Mix 
schickt, muss er am Ende der Proxykette stehen. Bei der Verwendung des 
JAP in Kombination mit Proxomitron sieht das ganze folgendermaßen aus: 






127.0.0.1 : 8080 127.0.0.1 : 4001 


Browser Proxomilron JAP 


Abbildung 2: Kaskadierung lokaler Proxies 


Auf diese Weise lassen sich beliebig viele lokale Proxies hintereinander 
betreiben. Denkbar wäre zum Beispiel noch der CookieCooker, um erhal- 
tene Cookies nicht kommentarlos zu filtern, sondern mit anderen Internet- 
nutzern auszutauschen. Wichtig ist bei einer solchen Verwendung der 
Programme, dass zumindest die in der Mitte befindlichen Proxyprogramme 
die Nutzung über einen anderen Proxy zulassen. 


Anonyme News und eMails: Cypherpunk und Mixmaster Remailer 


Beim Versenden von eMails fallen ebenfalls Daten an, die nicht immer auf 
den ersten Blick zu sehen sind. Neben den offensichtlichen Daten wie 
Name des Absenders und Mailadresse finden sich auch Angaben über den 
Mailserver des Providers und das verwendete Mailprogramm. Zusätzlich 
wird die eigene IP-Adresse im Header der Mail an den Empfänger übertra- 
gen. Wer einen Proxy wie den JAP einsetzt, um seine IP-Adresse zu ver- 
bergen, legt diese also mitunter durch die Hintertür wieder offen. Gleiches 
gilt für Beiträge in Newsgroups. Da vor allem letztere über große Archive 
jahrelang recherchierbar sind und zudem von automatisierten Robotern 
nach Mailadressen durchforstet werden, bietet sich ein anonymes Versen- 
den der Nachrichten hier besonders an. 
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Analog zum anonymen Websurfen gibt es Möglichkeiten, auch elektroni- 
sche Post anonym oder pseudonym zu versenden. Die einfachste Variante 
ist es, sich via JAP bei einem Gratis-Maildienst anzumelden, um von dort 
eine Nachricht abzusetzen. Mit diesem Account ist auch eine anonyme 
Anmeldung bei groups.google.del® möglich, um per Webfrontend an den 
dort angebotenen Newsgroups teilzunehmen. Vorausgesetzt, der eigene 
Rechner ist „dicht“, gewährleistet der JAP die Anonymität natürlich auch 
gegenüber einem Webmail- oder Webnews-Provider. Dabei leistet der 
CookieCooker hilfreiche Dienste, da er in der Lage ist, die elektronischen 
Anmeldeformulare selbständig mit zufälligen Daten auszufüllen und sich 
diese generierte Identität zu merken. 


Eine deutlich elegantere Variante stellen aber so genannte Remailer dar. 
Diese funktionieren ähnlich wie Webproxies zum anonymen Surfen und 
existieren in zwei Varianten: Cypherpunk- und MixMaster-Server. Beide 
arbeiten mit verschachtelten und verschlüsselten Nachrichten. Um einen 
solchen Mailserver zu verwenden, muss die Nachricht mehrfach verschlüs- 
selt werden, und zwar für jeden einzelnen Remailer in der vorgesehenen 
Kette, beginnend mit dem letzten. Der erste Remailer in der Kette erhält 
also ein Datenpaket, entpackt es und findet darin die Adresse eines weite- 
ren Remailers sowie eine verschlüsselte Nachricht, die nur dieser nächste 
Rechner der Kette entschlüsseln kann. Der letzte Remailer liefert die Mail 
schließlich an den Empfänger aus, ohne zu wissen, woher sie ursprünglich 
kam. Dieses Verfahren ähnelt stark dem Mixkonzept, das dem JAP 
zugrunde liegt. 


Eine im Vergleich zu Cypherpunk-Remailern verbesserte Variante stellt das 
Mixmaster-System von Lance Cottrell dar. Hier werden zwar auch ver- 
schachtelte Nachrichten von Server zu Server weitergereicht, das System ist 
jedoch gegen einige auf Cypherpunk anwendbare Angriffe geschützt. So 
werden unter anderem Replay-Attacken durch die Einbettung ID-Nummer 
unterbunden, da jede ID für eine bestimmte Zeit zwischengespeichert 
wird, während der eine Doublette mit der selben ID verworfen wird. E- 
benfalls verhindert wird ein Größenvergleich, da die von Server zu Server 
gereichten Mailpakete mit Zufallsdaten auf identische Größen gebracht 
werden. Ansonsten wäre es möglich, durch das stetig sinkende Dateivolu- 
men, bedingt durch die stufenweise Entschlüsselung, Rückschlüsse auf die 
Route der eMail zu ziehen. 


Ein einfacher Mailclient, der die Abfrage der verfügbaren Remailer und die 
zugehörige Verschlüsselung automatisch erledigt, ist Quicksilver!’. Das 
Programm bietet über zusätzliche Plugins PGP-Verschlüsselung und kann 
per POP/SMTP mit Mailservern kommunizieren. Trotz seiner spartanisch 
wirkenden Oberfläche bietet es damit vollständige Mailfunktionalität. Die 
Abbildung zeigt die Eingabemaske für anonyme Mails. Die Angabe des 
SMTP-Servers ist notwendig, um die Mail an den ersten Remailer-Knoten 


16 Newsgroups bei Google: http://groups.google.de. 


17 Quicksilver: http://quicksilver.skuz.net/ 
Ähnliches leistet das Programm „Jack B. Nymble“, das allerdings nicht weiter entwickelt wird. 
Download unter: http://www.skuz.net/potatoware/. 
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zu schicken. Dort werden alle personenbezogenen Header-Daten entfernt 
und die Nachricht an den nächsten Knoten weitergereicht. 






Z QuickSilver .9b20.9 >> 
Fie Edt Keyring View Tools Malbox Clipboard Window Help 


SIERT BR | F uae pa 










Ž New Usenet Article | 
Ee h G a3 08 

Fcc: outbox 
'|Host: sutp. provider .com 
From: nobodyf@nowhere.com 

Chain: *,*% 
| To: mailZnewsfanon. lcs.mit.edu, mail2newsfdizum. com 
||x-No-Archive: Yes 

Newsgroups: 

Subject: 


Das Mailfenster von Quicksilver sieht recht unspektakulär aus. 
jjIm Feld "Chain" wird die Anzahl der Hixmaster-Server einge- 
itragen. Der Eintrag *%,* bedeutet, dass das Programm selbst- 
| ständig zvei aktive Server auswählt. 


m 


Ze MEFE a 


Abbildung 3Anonymer Newsversand mit Quicksilver 


Vor dem Absenden aktualisiert Quicksilver zunächst automatisch seine 
Liste der verfügbaren Remailer und besorgt sich deren öffentliche Schlüs- 
sel. Das Umkodieren für die einzelnen Server der Proxykette übernimmt 
Quicksilver dann ebenfalls. Wenn alles erledigt ist, schickt Quicksilver die 
Nachricht via SMTP zum ersten Remailer der Kette, der sie dann weiter 
reicht. Die Nachricht trifft beim Empfänger allerdings mit einer deutlichen 
Zeitverzögerung ein, was zum einen daran liegt, dass die Mail unterwegs 
mehrfach umkodiert werden muss, zum anderen aber auch eine absichtli- 
che Verzögerung der einzelnen Remailer darstellt. Um die Verfolgung einer 
Mail von außen möglichst schwer zu machen, wird die Auslieferung ein- 
zelner Nachrichten verzögert, um den zeitlichen Zusammenhang zwischen 
Eingang und Weitersendung zu verwischen. Ein Beobachter von außen 
könnte sonst leicht den Weg einer Nachricht mitverfolgen, wenn einer 
eingehenden Nachricht beim Remailer unmittelbar eine ausgehende folgt. 


Nachfolgend der Header einer solchen anonymen Mail: 


Return-path: <godot-bounce@remailer.frell.eu.org> 
From: Anonymous <anonymous@remailer.frell.eu.org> 


Comments: This message did not originate from the 
Sender address above. 
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It was remailed automatically by anonymizing re- 
mailer software. 


Please report problems or inappropriate use to the 


remailer administrator at 
<abuse@remailer.frell.eu.org>. 


To: Empfänger@Provider.de 

Subject: Eine anonyme eMail 

Message-ID: <d8cd04e9ecd417e@remailer.frell.eu.org> 
Date: Tue, 26 Nov 2002 00:24:27 +0100 


Neben der Zeitverzögerung ist zu bedenken, dass eine so versandte Mail 
nicht immer den Empfänger erreicht. Bedingt durch die eher flüchtige 
Präsenz einiger anonymer Mailserver kann eine Nachricht durchaus auch 
im Netz verschwinden!®. In Kombination mit dem Umstand, dass man auf 
eine normale anonyme Mail prinzipbedingt nicht antworten kann, wird 
klar, dass das anonyme Versenden von eMails keine vollwertige Alterna- 
tive zum alltäglichen Mailverkehr darstellt. Auch bei der Diskussion in 
Newsgroups wäre es mitunter wünschenswert, trotz anonymer Teilnahme 
einen Rückkanal für eMails zu haben. Das reine Versenden von Nachrich- 
ten über Remailer ist daher nur bedingt praxistauglich. 


8 Nym-Server: Anonymität mit Rückfahrschein 


Eine Antwort auf eine anonyme Nachricht erscheint zuerst paradox: Wenn 
der Absender einer Nachricht nicht bekannt ist, kann ihm auch niemand 
zurückschreiben. Um diesen Widerspruch aufzuheben, wurden Nym-Ac- 
counts entwickelt. Der Grundgedanke ist einfach: Der Absender hinterlegt 
auf einem Server einen so genannten Reply-Block, der eine eingehende 
Antwort auf eine anonyme Mail auf einem vorbestimmten Weg zum ur- 
sprünglichen Absender transportiert. Zusätzlich wird die Antwort vom 
Server mit einem nur für diesen Nym-Account vorgesehenen PGP-Schlüssel 
codiert. Die Einrichtung des Nym-Accounts erfolgt durch das Absenden 
einer speziellen Konfigurationsnachricht an den Nym-Server. Diese besteht 
aus einigen Konfigurationsanweisungen an den Server, dem öffentlichen 
Teil des PGP-Schlüssels und dem Reply-Block. Letzterer enthält in ver- 
schlüsselter Form die Mailadresse des Absenders sowie eine Remailer- 
Kette, über die später die Antwort verschickt werden soll. Da die Konfigu- 
rationsanweisung an den Nym-Server nicht ganz trivial ist, bietet sich auch 
hier das Programm Quicksilver an, das zur Einrichtung von Nym-Accounts 
einen eigenen Wizard bereit hält!?. 


18 Der Autor der Programme JBN2 und Reliable Remailer hat sich auch seine Gedanken zum 
Verschwinden anonymer Mails gemacht. Seine diesbezüglichen Theorien finden sich unter 
http://www .skuz.net/potatoware/PSKB-035.html. 


19 Eine deutschsprachige Anleitung zum Einrichten und Verwenden von Nym-Accounts hält 


170 


4 Technische Risiken und Lösungen 


Nach der erfolgreichen Einrichtung des Nym-Accounts steht dem Nutzer 
eine normale Mailadresse Nutzer@Nym-Server zur Verfügung, die in ano- 
nymen Nachrichten verwendet werden kann. Erhält der Nym-Server nun 
eine Mail an solch eine Adresse, verschlüsselt er diese mit dem zur Adresse 
gehörenden PGP-Schlüssel. Danach wertet er den Reply-Block aus und 
schickt die verschlüsselte Nachricht auf die Reise über die voreingestellten 
Remailer. Der letzte Remailer in der Kette stellt die Nachricht dann dem 
realen Mailaccount zu - verschlüsselt mit dem anfangs hinterlegten PGP- 
Schlüssel. 


Faktor Mensch: Wo Tools versagen 


Anonymität im Netz basiert vornehmlich auf dem Verbergen der eigenen 
Daten. Sei es die IP-Adresse, die eigene Mail-Adresse oder Informationen 
über das Betriebssystem: Daten, die normalerweise wie selbstverständlich 
im Hintergrund versendet werden, lassen sich ausfiltern und durch Platz- 
halter ersetzen. Jedoch können die Tools, die das erledigen, nur dann 
sinnvoll arbeiten, wenn es keine anderen Kanäle gibt, über die die sorg- 
sam gepflegte Anonymität plötzlich aufgehoben wird. Dabei kommt zum 
Tragen, dass auch ein abgesichertes System nicht vor dem Anwender 
selbst gefeit ist??. Flugs ist die geliehene CD eingelegt, das neue Spiel in- 
stalliertt -— und nebenbei womöglich auch der neueste Trojaner, der mit 
dem eigenen Mailprogramm private Dokumente in die Welt schickt. Ein 
kurzer Virenscan hätte das verhindert. 


Auch der Aufwand, der mit der Verwendung der diversen Tools einher- 
geht, sollte nicht unterschätzt werden. Wer wirklich anonym sein und auch 
bleiben will, muss konsequent Inhalte filtern und Verbindungen anonymi- 
sieren. Die Konfiguration der Tools kostet nicht nur Zeit, sondern erfordert 
auch eine Beschäftigung mit der Materie. Zwar gibt es immer wieder 
marktschreierisch beworbene „One-Click“-Lösungen, die aber selten den 
umfassenden Schutz bieten, den sie versprechen. 


Und schließlich bleibt noch der einfachste Weg zum Abgreifen von Daten: 
Die direkte Frage. Was tun, wenn der Download eines Programms nur 
gegen Angabe von Mailadresse, Hobby und Wohnort gelingen will? Viele 
User geben hier bereitwillig Daten heraus, ohne sich Gedanken über die 
Notwendigkeit der Frage zu machen. Für das Ausfüllen solcher Onlinefor- 
mulare bietet sich der bereits erwähnte CookieCooker an. Er kann dem 
Nutzer eine Reihe von Eingaben automatisiert abnehmen und zeigt dabei 
sogar eine gewisse Intelligenz: Im Feld für die Postleitzahl landet tatsäch- 
lich eine Zahlenfolge, im Namensfeld ein Nachname. Irgendeiner, versteht 
sich. Hinzu kommt die Möglichkeit, die Eingaben zu speichern und bei 
Bedarf in ähnlichem oder demselben Kontext wieder abzurufen. 


Kai Raven bereit: 

http://kai.iks-jena.de/quick/quicknym2.html 

Da die Seite sporadisch umzieht, hilft uU. 
http://www.google.de/search?q=%22kai%20raven%22 weiter. ;o). 


20Das vor dem Anwender gefeite System ist jedoch in Arbeit: Es heißt TCPA und lässt nur 
noch Programme zu, die Microsoft genehm sind... 
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Wer Phantasie beweist und die Eingabefelder kreativ ausfüllt, wird häufig 
jedoch zumindest bei der Mailadresse auf Probleme stoßen: Download- 
links oder Zugangsbestätigungen für Onlineforen werden häufig nicht 
einfach nach dem Übermitteln der Informationen angezeigt, sondern an 
die eingegebene Mailadresse gesandt. Wer abc@de f.ghi angibt, bekommt 
die gewünschte Information nie zu Gesicht. Wer hingegen seine reale 
Mailadresse nennt, gibt seine Anonymität auf und läuft zudem Gefahr, 
über kurz oder lang unerwünschte Werbemails im Postfach zu finden. 


Sinnvoll sind in diesen Fällen temporäre Weiterleitungen auf die eigentli- 
che Adresse. Im Web gibt es verschiedene Dienste?!, die schnell und un- 
kompliziert solche Adressen generieren. Die neue Adresse hat dann ent- 
weder eine begrenzte Lebensdauer oder es wird nur eine bestimmte An- 
zahl Mails verarbeitet. Allerdings gilt für diese Dienste ähnliches wie für 
einzelne Anonymitätsproxies: Der Betreiber kann die temporäre Adresse 
der realen zuordnen. 


Das Surfen ohne Datenspuren ist also nicht ohne einen gewissen Aufwand 
zu realisieren. Die aus vielen einzelnen Tools und Maßnahmen zusam- 
mengesetzte Anonymität wird umso fragiler, je mehr Aspekte der Nutzer 
beachten muss. Dieser Umstand ist leider einer Eigenart des WorldWide- 
Web geschuldet, die in der realen Welt keine Entsprechung findet: Im Netz 
ist Anonymität eben kein „Default“, keine „Standardeinstellung“. Wer im 
Internet surft, ist zuerst einmal durch die technischen Gegebenheiten dem 
Gegenüber bekannt. In der realen Welt hingegen ist Anonymität selbstver- 
ständlich. Der Buchhändler käme nicht auf die Idee, am Eingang seines 
Buchladens schon nach Namen und Adresse zu fragen. Hier werden Daten 
erst dann übermittelt, wenn es erforderlich ist, beispielsweise für den Post- 
versand. Im Netz läuft das Spiel genau anders herum: Hier werden auf 
technischem Wege zuerst allerlei Daten übermittelt, die später vielleicht an 
irgendeiner Stelle von Belang sein könnten. Wer diese Daten ohne Erfor- 
derlichkeit nicht preisgeben möchte, ist auf sich selbst gestellt. 


Denken Sie dran, wenn Sie das nächste Mal in den Supermarkt gehen. 


Und genießen Sie es. 


21 Temporäre eMail-Adressen: 
http://sneakemail.com/ 
http://www.spamgourmet.com/ 
http://www.spamhole.com/. 


Das AN.ON-System - Starke Anonymität und Unbeobachtbarkeit im 
Internet 


Prof. Dr. Hannes Federrath 


1 Einführung 


Als der Gesetzgeber im Jahr 1997 das Teledienstedatenschutzgesetz 
(TDDSG) verabschiedete, zeigte er durchaus Mut. Dort wurde im $4 
Abs. 1 festgelegt: 


Der Diensteanbieter hat dem Nutzer die Inanspruchnahme von Tele- 
diensten und ihre Bezahlung anonym oder unter Pseudonym zu er- 
möglichen, soweit dies technisch möglich und zumutbar ist. Der Nut- 
zer ist über diese Möglichkeit zu informieren. 


Nach der Novellierung des TDDSG im Rahmen des Gesetzes über rechtli- 
che Rahmenbedingungen für den elektronischen Geschäftsverkehr (EGG) 
am 9.11.2001 wurde aus dem zitierten Absatz der § 4 Abs. 6 TDDSG 
(Pflichten des Diensteanbieters); inhaltlich wurden jedoch an diesem Ab- 
schnitt keine Veränderungen vorgenommen. 


Mit den Terroranschlägen vom 11. September 2001 ist das Risiko und ver- 
ständlicherweise auch die Angst der Menschen gewachsen, Opfer von 
Terrorakten zu werden. Natürlich sah und sieht sich der Staat in der 
Pflicht, seine Bürger bestmöglich vor Terror zu schützen. 


Man kann und sollte den Verbleib des zitierten Absatzes auch nach den 
Terroranschlägen als Bestätigung sehen, dass selbst unter dieser schwieri- 
gen Ausgangslage dem Bürger die Möglichkeit gegeben werden sollte, sich 
und seine Kommunikation zu schützen. Insbesondere bieten die Vor- 
schriften der Strafprozessordnung (StPO, $ 100 a, g, h) weitreichende Mög- 
lichkeiten sowohl der Strafverfolgung als auch der Prävention (nach einem 
Verdacht auf eine bevorstehende Straftat). Zu den rechtlichen Grundlagen 
von Anonymität im Internet siehe auch [2] in diesem Buch. 


2 Das Projekt AN.ON 


Seit Januar 2000 fördert das Bundeswirtschaftsministerium das Forschungs- 
und Entwicklungsprojekt "AN.ON - Starke Anonymität im Internet". Das 
Ziel dieses Projekts ist die Schaffung eines offenen Systems zur anonymen 
Internetkommunikation. Die Quellcodes der Software sind öffentlich be- 
kannt. Jeder interessierte Programmierer kann sich an der (Weiter)-Ent- 
wicklung der Software beteiligen oder auch nur nachvollziehen, wie das 


H. Da umler et al. eads. j), Anonymität ım Internet 
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System arbeitet und sich so vom tatsächlichen Schutzniveau des Verfahrens 
überzeugen. 


Die Entwicklung und Förderung von Software mit offen gelegtem Quell- 
code insbesondere im Sicherheitsbereich Tradition. Auch das Bundeswirt- 
schaftsministerium hat mit seiner Förderung von AN.ON seine Unterstüt- 
zung für des Open-Source-Projekte erneut bewiesen. Mit dem Gnu Privacy 
Guard (GPG) [3] entstand eine unabhängige Implementierung einer Ver- 
schlüsselungssoftware, die zu der sehr bekannten und weit verbreiteten 
Software Pretty Good Privacy (PGP) [7] kompatibel ist. Das bedeutet, PGP- 
Benutzer können auch mit GPG verschlüsselte Nachrichten entschlüsseln 
und umgekehrt. 


3 Technische Grundlagen 


Die technische Basis des im AN.ON-Projekt entwickelten Systems ist das 
Verfahren der umkodierenden Mixe, das im Jahre 1981 von dem amerika- 
nischen Kryptographen David Chaum publiziert wurde [1] und hier verein- 
facht dargestellt wird. Eine ausführliche Beschreibung des Mix-Netzes fin- 
det sich beispielsweise in [6]. 


Umkodierende Mixe realisieren die Unbeobachtbarkeit der Kommunikati- 
onsbeziehung zwischen einem Sender und einem Empfänger. Hierzu sen- 
det der Sender seine Nachricht nicht direkt an den Empfänger, sondern 
über mehrere hintereinander geschaltete Rechner, sog. Mixe, die jeweils 
von unabhängigen Betreibern betrieben werden. Um die Verkettung der 
ein- und ausgehenden Nachrichten eines Mixes durch einen Beobachter zu 
verhindern, haben alle eingehenden Nachrichten die gleiche Länge und 
wurden vom Sender mit dem öffentlichen Verschlüsselungsschlüssel des 
Mixes verschlüsselt. Der Mix sammelt Nachrichten mehrerer Sender, ent- 
schlüsselt sie und gibt sie in veränderter Reihenfolge (zufällig, d.h. gemixt, 
oder geordnet, auf alle Fälle aber unabhängig von der Eingangsfolge) wie- 
der aus. 


Ein solches Verfahren realisiert die Anonymität des Senders bezüglich sei- 
ner gesendeten Nachricht (sog. Senderanonymität), d.h. der erste Mix so- 
wie alle anderen potentiellen Beobachter kennen zwar den Sender einer 
(verschlüsselten) Nachricht, erfahren jedoch weder etwas über den Emp- 
fänger, noch über den Inhalt der Nachricht. Der letzte Mix kennt den Emp- 
fänger einer Nachricht, kann jedoch nicht den Sender zuordnen. Mittlere 
Mixe kennen jeweils nur den vorhergehenden und den nachfolgenden 
Mix, über den die Nachrichten gesendet wurden. 


Die Kommunikationsbeziehung zwischen Sender und Empfänger bleibt 
selbst dann unbeobachtbar für alle Außenstehenden, Mixbetreiber und 
Netzbetreiber, wenn sie alle Verbindungen des Kommunikationsnetzes 
abhören und aufzeichnen können. Erst wenn alle an einer Kommunikati- 
onsbeziehung beteiligten Mixe zusammenarbeiten, können die Mixe eine 
Verbindung enttarnen. 


Da ein Mix verschlüsselte Nachrichten konstanter Länge empfängt, muss 
der Sender die Nachrichten für die Mixe vorbereiten. Er muss zu kurze 
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Nachrichten um Füllzeichen erweitern und zu lange Nachrichten entspre- 
chend aufteilen. Eine Nachricht wird ggf. zunächst mit dem Verschlüsse- 
lungsschlüssel des Empfängers verschlüsselt und dann mit der Empfänger- 
adresse versehen. Anschließend wird die Nachricht mit dem öffentlichen 
Verschlüsselungsschlüssel des letzten Mixes verschlüsselt, das Ergebnis mit 
dem öffentlichen Verschlüsselungsschlüssel des vorletzten Mixes noch 
einmal verschlüsselt usw. Schließlich entsteht eine mehrfach verschlüsselte 
Nachricht, die an den ersten Mix gesendet wird und von ihm (und nur von 
ihm) entschlüsselt werden kann. Das Ergebnis dieser Entschlüsselung kann 
nur vom zweiten Mix entschlüsselt werden u.s.w. Jeder Mix entfernt ge- 
wissermaßen eine Verschlüsselungsschale. 


Um einen Angriff durch Nachrichtenwiederholung zu verhindern, testet ein 
Mix, ob er eine eingehende Nachricht (bzw. einen sog. Fingerabdruck von 
ihr) bereits verarbeitet hat und verwirft sie gegebenenfalls. Um einen An- 
griff durch probeweise Verschlüsselung einer ausgegebenen Nachricht mit 
dem öffentlichen Verschlüsselungsschlüssel des Mixes zu verhindern, fügt 
der Sender vor jeder Verschlüsselung Zufallsbits zur Nachricht hinzu, die 
der Mix nicht mit ausgibt. Zwischen dem Sender und dem ersten Mix wer- 
den nur verschlüsselte Nachrichten ausgetauscht. Gleiches gilt für die zwi- 
schen den Mixen ausgetauschten Nachrichten. Sofern die Nachricht für den 
Empfänger verschlüsselt wurde, erfährt auch der letzte Mix nichts über den 
Inhalt der Nachricht. 


Damit die Zuordnung von Sender und Empfänger einer konkreten Nach- 
richt tatsächlich nicht möglich ist, müssen alle Sender zu jedem Zeitpunkt 
genau eine Nachricht senden und möglichst sogar alle Empfänger genau 
eine Nachricht empfangen. Andernfalls beschränken sich die möglichen 
Kommunikationsbeziehungen auf die aktiven Sender und Empfänger. Da 
ein Beobachter typischerweise alle Sende- und Empfangsereignisse über 
einen längeren Zeitraum aufzeichnen wird, und viele Kommunikationsbe- 
ziehungen auch über einen längeren Zeitraum aufrechterhalten werden, 
kann durch Schnittmengenbildung die Unbeobachtbarkeit des Einzelnen 
weiter sinken. 


Um die Sender- und Empfängergruppe nicht zu verkleinern, existieren 
folgende Möglichkeiten: Wer nichts zu senden hat, sendet Leernachrichten 
(Dummy Traffic), um die Gruppe der Sender zu einem Zeitpunkt nicht 
unnötig zu verkleinern. Der letzte Mix erkennt Leernachrichten und wirft 
sie weg. Die einzige theoretische Möglichkeit zum Erreichen einer kon- 
stanten Empfängergruppe besteht in der Verteilung aller Nachrichten an 
alle Empfänger. Dies ist jedoch in den meisten Anwendungsfällen nicht 
praktikabel. Deshalb begnügt man sich praktisch damit, dass zwar bekannt 
ist, welche Empfänger Nachrichten empfangen, allerdings mittels Senden 
von Leernachrichten vollständig verborgen bleibt, welche Sender etwas zu 
senden haben. 
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Im Rahmen des Projektes AN.ON wird ein Mix-basiertes System zum ano- 
nymen Websurfen entwickelt und testweise verfügbar gemacht. In der 
Terminologie des vorangegangenen Abschnitts sind die Sender von Nach- 
richten die Web-Surfer und die Empfänger die Web-Server. Das bedeutet, 
die "Nachricht", die der Web-Surfer anonym an den Web-Server senden 
möchte, ist die URL (Uniform Resource Locator) der anzuzeigenden Web- 
seite. Es wird die Kommunikationsbeziehung zwischen Web-Surfer und 
Web-Server verborgen, d.h. der Server, alle Außenstehenden sowie die 
beteiligten Mixe erfahren somit nicht, welcher Surfer welchen Server kon- 
taktiert und welche Seiten er abruft. 


Die Adaption und technische Umsetzung des Verfahrens der umkodieren- 
den Mixe für das Websurfen im Internet wird durch die im AN.ON-Projekt 
entwickelte Software JAP [5] realisiert. JAP wird auf dem Rechner des Web- 
Surfers installiert und zwischen den Browser und das Internet geschaltet. 
Jede aufzurufende URL wird im JAP anonymisiert, indem sie für die zu 
durchlaufende Mix-Kette vorbereitet wird, d.h. mehrfach verschlüsselt 
wird. 


Während die (mehrfach verschlüsselte) URL durch die Mixe entschlüsselt 
und zum Server geleitet wird, werden die Daten zur Anzeige der Webseite 
im Browser auf dem Rückweg vom Server zum Browser in jedem Mix zur 
Vermeidung der Zuordnung auf den Ein- und Ausgängen verschlüsselt. 
Hierzu werden im JAP für jede aufzurufende URL für jeden Mix Sitzungs- 
schlüssel erzeugt und für die Dauer der Verbindung (maximal wenige 
Sekunden) im Hauptspeicher des Mixes hinterlegt. Das bedeutet, auch die 
aufzurufenden Inhalte werden durch die Mixe geleitet und somit anonymi- 
siert. 


JAP erhält schließlich die (mehrfach verschlüsselten) Inhalte, die dort mit 
den zuvor erzeugten Sitzungsschlüsseln wieder entschlüsselt und dem 
Web-Browser zuleitet werden. 


5 Erreichte Sicherheit 


Die Benutzer von JAP sind geschützt vor der Beobachtung ihres Surf-Ver- 
haltens. Auf der Kommunikationsverbindung zwischen dem PC und dem 
Internet Service Provider (ISP) ist erkennbar, dass der Benutzer mit dem 
ersten Mix der Mix-Kette kommuniziert. Da alle Inhalte verschlüsselt sind, 
erfährt ein Beobachter nichts darüber, welche URLs aufgerufen werden. 
Somit ist auch der eigene ISP nicht mehr in der Lage, Surfprofile zu erstel- 
len. Er kann jedoch aufzeichnen, wann und wie lange welcher Benutzer 
mit einem ersten Mix kommuniziert hat und welche Datenmenge er aus- 
getauscht hat. 


Solange wenigstens ein Mix die Zuordnung seiner Ein- und Ausgabenach- 
richten für sich behält, können auch die Mixe nicht beobachten. Insofern 
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ist es sehr wichtig, dass die beteiligten Mixe unabhängig sind und keinerlei 
Daten über die gemixten Verbindungen speichern. Beim Aufruf von URLs, 
die mit https beginnen (sog. SSL- bzw. TLS-Verschlüsselung, Secure So- 
ckets Layer, Transport Layer Security), erfährt der letzte Mix nur, zu wel- 
chem Webserver er sich verbinden soll. Beim Aufruf von "normalen" URLs 
(http://...) erfährt der letzte Mix zusätzlich, welche Seiten auf dem Server 
abgerufen werden. Der Web-Server erfährt, dass die aufzurufende Web- 
seite über den AN.ON-Dienst abgerufen wurde. 


Die Identität des Urhebers des Requests, d.h. des JAP-Benutzers, erfahren 
weder der letzte Mix, noch der Webserver. Es gibt eine Ausnahme: Beim 
Abruf von personalisierten Webseiten, die nur unter Angabe eines Benut- 
zernamens abrufbar sind (z.B. E-Mail-Dienste mit Web-Interface), erfährt 
bei https der Web-Server (bei http auch der letzte Mix) den Benutzerna- 
men. In diesem Fall realisiert das AN.ON-System die Unverkettbarkeit von 
Identität und Benutzername, d.h. sog. Pseudonymität. Beim Aufruf von 
personalisierten Web-Diensten mittels https, die die Identität des Benutzers 
kennen (z.B. Internet-Banking), realisiert das AN.ON-System immer noch 
die Unbeobachtbarkeit der Web-Dienst-Benutzung vor allen Außenstehen- 
den, dem eigenen ISP und den Betreibern der Mixe. Das bedeutet, der 
Web-Dienst und der Benutzer kennen sich, kommunizieren jedoch vor 
allen Außenstehenden unbeobachtbar miteinander. 


Praktische Erfahrungen 


Die öffentliche Testphase des AN.ON-Dienstes begann im September 2000. 
Seitdem steht JAP im Internet für alle gängigen Betriebssysteme (Windows, 
Macintosh, Linux etc.) zum Download bereit [5]. Mit einer Meldung auf 
dem Heise-News-Ticker [4] vom Januar 2001 weckte der Dienst erstes öf- 
fentliches Interesse. In den folgenden Wochen stieg die Nutzerzahl auf 
durchschnittlich 200-300 gleichzeitige Nutzer. Im September 2001 benutz- 
ten durchschnittlich 500-600 Nutzer gleichzeitig den Anonymisierungs- 
dienst. Die Leistungsfähigkeit des Systems konnte durch eine Speicherauf- 
rüstung erhöht werden, so dass ab Januar 2002 durchschnittlich 800-1000 
Nutzer gleichzeitig über das System surfen konnten. Während die Hard- 
und Software noch deutlich mehr Nutzer bedienen kann, ist die momen- 
tane Internet-Anbindung der Mixe mit etwa 1200-1400 Benutzern pro Mix- 
Kette an der Kapazitätsgrenze angelangt. Momentan werden über den 
Dienst ca. 4000 Web-Requests pro Minute abgewickelt. Dabei wird täglich 
ein Datenvolumen von ca. 90-100 GByte verarbeitet. 


Der AN.ON-Dienst stellt einen Dienst zum anonymen Abrufen von Infor- 
mationen (Webseiten) im Internet zur Verfügung und ist nicht gedacht 
zum anonymen Verbreiten von Informationen. Bei interaktiven Web-An- 
geboten müssen jedoch auch Daten zum Web-Server übermittelt werden, 
beispielsweise der Suchbegriff an eine Suchmaschine. Dies hat zur Folge, 
dass der Benutzer des AN.ON-Dienstes falsche Angaben (z.B. falsche Kre- 
ditkartennummer in einem E-Shop) machen kann, ohne rückverfolgbar zu 
sein. Während des Testbetriebs kam es im Zeitraum Januar 2001 bis Au- 
gust 2002 zu insgesamt 17 Anfragen von Strafverfolgungsbehörden. In der 


Das AN.ON-System - Starke Anonymität und Unbeobachtbarkeit ... 177 


Mehrzahl handelte es sich um Verdachtsfälle von Kreditkartenbetrug, wei- 
terhin Verdacht von Computerbetrug, Datenveränderung, Computersabo- 
tage, Beleidigung, Verleumdung und Morddrohung. In zwei Fällen bestand 
der Verdacht auf Abruf kinderpornographischer Inhalte über den AN.ON- 
Dienst. 


Da vom AN.ON-Dienst keinerlei Verbindungsdaten gespeichert werden, ist 
es rückwirkend nicht möglich, die IP-Adresse eines JAP-Benutzers zu ei- 
nem konkreten Web-Request zuzuordnen. Die Speicherung von Verbin- 
dungsdaten eines Mixes würde der Idee eines Anonymisierungsdienstes 
zuwiderlaufen und wäre darüber hinaus nur dann sinnvoll, wenn alle 
beteiligen Mixe einer Mix-Kette solche Daten speicherten. Da eine solche 
präventive Datenspeicherung für die technische Aufrechterhaltung des 
Betriebs nicht erforderlich ist, wäre sie zudem vermutlich nicht erlaubt. 


Anbieter von Web-Angeboten, die den anonymen Zugriff (über den 
AN.ON-Dienst) auf ihre Inhalte verhindern wollen, können sich beim 
AN.ON-Dienst registrieren lassen. Dies verhindert jedoch nicht vollkom- 
men die anonyme Nutzung solcher Angebote, da natürlich noch weitere 
Anonymisierer im Internet existieren. 

Im Verlauf des Testbetriebs wurde der AN.ON-Dienst selbst Opfer von 
Angriffen. Dabei handelte es sich größtenteils um Denial-of-Service-Atta- 
cken, die zur zeitweiligen Unverfügbarkeit des Dienstes führten. 


7 Schlussbemerkungen 


Die rege Nutzung eines solchen (kostenlosen) Anonymisierungsdienstes 
führt dazu, dass die Kosten der Dienstnutzung auf Dauer nicht von einem 
Forschungs- und Entwicklungsprojekt wie es AN.ON ist, getragen werden 
können. Da das Forschungsprojekt Ende 2003 ausläuft, ist das Weiterbe- 
stehen des kostenlosen Dienstangebots vom Finden eines Trägers abhän- 
gig. Bereits zum jetzigen Zeitpunkt wäre der Ausbau des Dienstangebots 
(beispielsweise zusammen mit Internet Service Providern) sinnvoll und 
notwendig, da der kostenlose Testbetrieb offenbar von vielen (einigen 
zehntausend) JAP-Benutzern sehr positiv angenommen wurde und der 
AN.ON-Dienst derzeit an der oberen Lastgrenze betrieben wird. 

Alternativ kommt auch die kostenpflichtige Nutzung des Dienstes in Frage. 
Das Finden von Partnern für die Verwertungsphase des im AN.ON-Projekt 
entwickelten Systems ist deshalb eine wichtige Aufgabe. Wir sind hier sehr 
zuversichtlich. Schließlich werden Datenschutz und IT-Sicherheit mehr und 
mehr zu Marketing-Argumenten von Informationstechnologie-Anbietern. 
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Anonymität und Pseudonymität bei biometrischen 
Identifikationsverfahren 


Dr. Thomas Probst 


Nachdem die Biometrie in der Vergangenheit eher ein Schattendasein ge- 
führt hat - sei es in der Forschung, in Hochsicherheitsbereichen oder in 
Spionagefilmen - und nur Expertenkreisen mit Details vertraut waren, ist 
sie in den letzten Jahren durch Presse- und Filmberichte einer breiten Be- 
völkerungsschicht bekannt geworden. Insbesondere die nicht unumstrit- 
tene Anti-Terrorgesetzgebung im Jahr 2001 hat wegen einer möglichen 
Aufnahme biometrischer Merkmale in Ausweispapiere biometrische Ver- 
fahren in den Mittelpunkt des öffentlichen Interesses gerückt. 


Der Begriff Biometrie stammt aus dem Griechischen (,bios“ =Leben und 
„metrein“ =messen) und wird im Zusammenhang mit der zahlenmäßigen 
Beschreibung und Vermessung im Bereich der Biologie und der medizini- 
schen Statistik verwendet. Erst in letzter Zeit wird er häufiger mit einer 
automatisierten Vermessung des menschlichen Körpers und einer damit 
möglichen automatisierten Erkennung in Verbindung gebracht. Solche 
Verfahren sind gemeint, wenn im Text von biometrischen Identifikations- 
verfahren die Rede ist. 


1 Grundlagen biometrischer Verfahren 


Das Grundprinzip einer biometrischen (Wieder-)Erkennung ist stets gleich: 
Zunächst werden mit Hilfe von Sensoren (z.B. Kameras, Mikrofonen, Tas- 
taturen, aber auch Spezialsensoren zur Aufnahmen von Gerüchen oder 
Fingerabdrücken) menschliche Körpercharakteristika wie Gesichtsform, 
Irismuster, Fingerabdruck, Stimme oder handschriftliche Unterschrift als 
Referenzmuster elektronisch erfasst und gespeichert. Auf diese Weise wird 
die Person in das System „eingelernt“ (auch „Enrolment“). Dies kann auch 
ohne Kenntnis der Person geschehen, etwa beim „Einlernen“ von latenten 
Fingerabdrücken oder Gesichtsaufnahmen von Fotos, Phantombildern 
oder Videoaufnahmen. Soll eine Person wiedererkannt werden, so werden 
erneut biometrische Merkmale erfasst und mit den bereits gespeicherten 
Referenzen verglichen. Im Falle einer Übereinstimmung ist die Erkennung 
erfolgreich. 


Bei der Verarbeitung werden die aufgenommenen Rohdaten, d.h. die Ton- 
aufnahmen, Videoaufnahmen, elektrische Impulse der Sensoren etc. zu 
einem so genannten Template vorverarbeitet: Dies ist ein relativ kleiner 
Datensatz, der Parameter eines mathematischen Modells der Rohdaten 


H. Bäumler et al. (eds.), Anonymität im Internet 
O) Ç r eig var G r akl a O M \y7: Ach A ar 9 AYA 2 
© Springer Fachmedien Wiesbaden 2003 






180 





1.1 


4 Technische Risiken und Lösungen 


enthält, beispielsweise Koordinaten von sog. Minutien! bei Fingerabdruck- 
verfahren oder Parameter einer modellhaften Beschreibung eines Gesichts. 
Ein solches Template wird beim Einlernen gespeichert. 


= begin lernpäate data 

| Prod 01 5.678 
Finger 345 7 Ë 

| Moše A Baht 
Waie SET BAG 5 


- èii lerngisie dala - 


Template 


Datenerfassung Templateberechnung 


Speicherung der 
Referenzdaten 


Abbildung Einlernen 


Bei allen weiteren Benutzungen des Gerätes werden erneut Rohdaten 
erfasst, durch die Vorverarbeitung ein neues Template berechnet und die- 
ses mit Hilfe eines speziellen Vergleichsalgorithmus mit dem gespeicherten 
Template verglichen. Der Vergleich erfolgt dabei stets mit Hilfe von 
Templates. Die Speicherung eines (Referenz-)Templates anstelle von (Refe- 
renz-)Rohdaten ist lediglich eine Rationalisierung, um Speicherplatz und 
Vorverarbeitungszeit zu sparen; denkbar ist ebenso ein automatisierter 
Vergleich von (Referenz-)Rohdaten (z.B. Passbildern) mit aktuell aufge- 
nommenen Rohdaten. 


Die Templates enthalten in komprimierter Form die für einen Vergleich 
notwendigen Daten, erlauben aber üblicherweise - im Gegensatz zu ma- 
chen Rohdaten wie etwa Gesichtsaufnahmen - keine unmittelbaren Rück- 
schlüsse auf die beschriebene Person; hierzu ist vielmehr der Vergleichsal- 
gorithmus notwendig. 


Verifikation, Toleranzschwellen und Identifikation 


Es gibt zwei grundsätzliche Betriebsarten für biometrische Systeme: Verifi- 
kation und Identifikation: Bei der Verifikation wird in einem 1:1-Vergleich 
die behauptete Identität eines Benutzers nachgewiesen, indem die aktuell 
präsentierten Daten mit einem eingelernten Referenzwert verglichen wer- 
den. 


lUa, Verzweigungen oder Enden von Fingerabdrucklinien. 
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Abbildung Verifikation 


Die Identifikation hingegen vergleicht die aktuellen Daten mit allen ge- 
speicherten Referenzwerten (1:n-Vergleich) und liefert als Ergebnis die 
Nutzerkennung den „besten Treffer“ oder eine Auswahl davon zurück. 





-- Pagi emaii Jain- 
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Abbildung Identifikation 


Nimmt man mehrfach die Rohdaten einer Person auf, so stellt man fest, 
dass sie sich nicht eindeutig gleichen. Für diese Varianz sind Messfehler 
(etwa ein schräg aufgelegter Finger), aber auch zeitliche Veränderungen 
wie Stimmbruch, Frisuränderung, Verletzung am Finger etc.) verantwortt- 
lich. Die entsprechenden Templates sind ebenfalls nicht identisch. Beim 
Vergleichsprozess wird dies berücksichtigt, indem zum einen spezielle 
Vergleichsalgorithmen konstruiert werden und zum anderen nicht auf eine 
absolute Übereinstimmung, sondern nur auf eine hinreichende Überein- 
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stimmung getestet wird. Dabei kann es zu Fehlentscheidungen des Sys- 
tems kommen. Mittels eines Parameters (Toleranzschwelle) kann eingestellt 
werden, ab welchem Übereinstimmungsgrad ein positives Ergebnis gemel- 
det wird.2 Die Wahl der Toleranzschwelle beeinflusst ganz entscheidend 
die Qualität der biometrischen Erkennung, d.h. den Anteil von Falschmel- 
dungen. Dies können falsche Positivmeldungen wie auch falsche Negativ- 
meldungen sein. 


Datenspeicherung 


Für die Datenspeicherung kommen im Wesentlichen zwei Orte in Frage: 
Neben einer zentralen Speicherung in einer Datenbank, die sowohl für 
Identifikations- als auch Verifikationsverfahren verwendet werden kann, 
kommt für Verifikationsverfahren auch die dezentrale Speicherung im Ver- 
fügungsbereich des Benutzers (z.B. in Chipkarten oder Mobiltelefonen) in 
Betracht. 


Dies hat den Vorteil, dass die biometrischen Daten im Einflussbereich des 
Nutzers verbleiben und ein zusätzliches Sicherheitselement (”Besitz”) ne- 
ben das Element ”Sein” tritt. In machen Fällen kann dies aber unpraktika- 
bel sein, etwa bei Zutrittskontrollen zu Reinräumen oder Operationssälen. 


Einsatz biometrischer Verfahren 


Biometrische Verfahren lassen sich in ganz unterschiedlichen Zusammen- 
hängen einsetzen. In erster Linie sind es klassische Sicherheitsmechanis- 
men wie Zugangs- oder Zutrittskontrollen, wo ein biometrischer Vergleich 
die Konzepte von Besitz (z.B. Chipkarte, Schlüssel) und Wissen (z.B. 
Passwörter oder PIN) ersetzt oder ergänzt. In diesen Bereich fällt auch eine 
biometrische Sicherung elektronischer Signaturen (d.h. Freischaltung des 
Signiervorganges bei erfolgreichem biometrischen Vergleich), die Anmel- 
dung an Computersystemen, die Aktivierung von Laptops oder Mobiltele- 
fonen oder einer Kindersicherung am Videorecorder, die unbefugtes Ein- 
schalten verhindert. Ebenfalls in diese Kategorie fällt die Ergänzung von 
Ausweispapieren um biometrische Merkmale, solange diese nur bei einer 
konkreten Kontrolle (z.B. Einreise etc.) zum Vergleich verwendet werden. 


Eine andere Kategorie bilden biometrische Verfahren, die zur Identifikation 
eingesetzt werden, etwa bei der erkennungsdienstlichen Zuordnung von 
Fingerabdrücken aus Tatortspuren zu einem bisher unbekannten Verdäch- 
tigen mit Hilfe eines zentralen Registers. Dies geschieht z.B. mit Hilfe des 
AFIS?. AFIS kommt auch bei der Registrierung von Asylbewerbern zum 
Einsatz und soll dazu dienen, die mehrfache Stellung eines Asylantrags 


2 Ähnlich ist auch in der forensischen Daktyloskopie: Zwei Fingerabdrücke gelten als gleich, 
wenn eine bestimmte Anzahl von Minutien (sieh Fn. 1), abhängig von der Größe und Qua- 
lität der Abdrücke übereinstimmt. Diese Anzahl (meist 8 oder 12) entspricht dem oben ge- 
nannten Parameter. 


3 Automatisches Fingerabdruck-Identifizierungs-System, s. Werner, U.: AFIS. In: Bäum- 
ler/Breilinger/Schrader (Hrsg.): Datenschutz von A-Z, Neuwied 1999. 
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unter Angabe falscher Identitätsdaten erkennbar zu machen.? Dazu werden 
die Fingerabdrücke aller Asylbewerber in einer Datenbank gespeichert und 
bei einem neu gestellten Asylantrag die Fingerabdrücke des Antragstellers 
mit dem gesamten Bestand verglichen, um ggf. einen bereits zuvor ge- 
stellten Antrag aufzudecken. 


Die Anwendungen der ersten Kategorie lassen sich als Verifikation (s. Tz. 
1.1) gestalten, indem die biometrischen Merkmale des aktuellen Benutzers 
in einem 1:1-Vergleich mit einem gespeicherten Referenzdatensatz vergli- 
chen werden. Der Referenzdatensatz wird durch den Benutzer zur Verfü- 
gung gestellt (z.B. mittels einer Chipkarte). Denkbar ist aber auch, die 
Referenzdatensätze in einer Datenbank zu erfassen und mittels Nutzerna- 
men oder einer Kennnummer (die ihrerseits wie etwa bei der Kontonum- 
mer auf den ec-Karten auf einer Magnetstreifen- oder Chipkarte gespei- 
chert sein kann) für den Vergleichsvorgang auf den benutzerindividuellen 
Referenzdatensatz zugreifen. In beiden Fällen ist die Kooperation des Nut- 
zers notwendig, da dieser — selbst wenn seine aktuellen biometrische Rob- 
daten unbemerkt erfasst wurden - den Referenzdatensatz zur Verfügung 
stellen muss. 


Möglich ist aber auch eine Ausgestaltung durch ein Identifikationsverfah- 
ren (s. Tz.). Dazu müssen ebenfalls alle Referenzdatensätze in einer Da- 
tenbank erfasst sein; der Benutzer wird dann durch einen Vergleich mit 
allen gespeicherten Datensätzen ermittelt. In diesem Fall sind Chipkarten 
oder die Eingabe einer Nutzerkennung entbehrlich. 


Anwendungen der zweiten Kategorie können nur als Identifikationsverfah- 
ren betrieben werden. Häufig haben positive Treffer in der Datenbank 
negative Folgen für den Betroffenen (z.B. strafrechtlicher Ermittlungen, 
Ablehnung eines Asylantrages etc.); sie müssen auch funktionieren, wenn 
sich die Betroffen unkooperativ verhalten und die Referenzdaten nicht zur 
Verfügung stellen. 


Sind biometrische Daten anonym? 


Personenbezug 


Um die Frage, ob biometrische Daten anonym sind, beantworten zu kön- 
nen, muss man sorgfältig die Begriffe personenbezogen, personenbezieh- 
bar, anonym und schließlich pseudonym auseinander halten: 


e Personenbezogene Daten sind ganz allgemein solche Daten, die einer- 
seits Informationen („Einzelangaben über persönliche oder sachliche 
Verhältnisse“) über eine bestimmte oder bestimmbare Person enthal- 
ten. Eine Person ist bestimmt, wenn die Daten selbst einen unmittelba- 


4 Siehe Gundermann/Probst, Biometrie, Rn. 31; in: Roßnagel (Hrsg.): Handbuch Datenschutz- 
recht, München 2003. 


5 S. dazu Roßnagel/Scholz: Datenschutz durch Pseudonymität und Anonymität, MMR 
12/2000, S. 721-731. 


6 § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG). 
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ren Rückschluss auf die Identität der Person zulassen (etwa Namen 
und Wohnanschrift); sie ist bestimmbar, wenn eine Identitätszuord- 
nung möglich ist, aber noch weitere Kenntnisse erforderlich sind (etwa 
Steuererklärung und Steuernummer als „Einzelangaben“ und die Zu- 
ordnung von Namen und Wohnanschrift zur Steuernummer als „wei- 
tere Kenntnisse“) und der Datenverarbeiter über diese Kenntnisse (le- 
gal) verfügt. 


e  Identitätszuordnung unter Anwendung weiterer Kenntnisse möglich ist 
— unabhängig davon, ob diese Kenntnisse vorhanden sind oder nicht. 
Liegen sie beim Datenverarbeiter, so sind die Daten für ihn personen- 
bezogen, denn die zugehörige Person ist für ihn bestimmbar. Die Da- 
tenschutzgesetze verwenden daher den Begriff personenbeziehbar 
nicht. 


Personenbezogenheit und Personenbeziehbarkeit sind relative Begriffe — 
es hängt vom - derzeitig verfügbarer - Kontextwissen des Datenverarbei- 
ters ab. So können Daten für einen Verarbeiter personenbezogen sein, für 
einen anderen nicht, und es kann sich dieser Zustand im Laufe der Zeit 
ändern. 


Anonymität, Pseudonymität und Verkettbarkeit 
Anonymität und Pseudonymität sind hingegen abstrakter definiert’: 


Anonymität lässt sich aus technischer Sicht als Zustand definieren, inner- 
halb einer Menge von Subjekten, der Anonymitätsmenge, nicht identifi- 
zierbar zu sein. Eine solche Menge kann aus Personen (z.B. Sender oder 
Empfänger von Botschaften), aber auch aus Handlungen (etwa Kommuni- 
kationsvorgänge) bestehen. 


Anonym im datenschutzrechtlichen Sinn sind solche Daten, die zwar Ein- 
zelangaben über eine Person sind, aber von niemandem und unter keinen 
Umständen einer Person zugeordnet werden können - außer von ihr 
selbst. Dieser Ansatz ist in seiner Absolutheit nur von theoretischem Inte- 
resse: Es kann nicht mit absoluter Sicherheit ausgeschlossen werden, dass 
der Personenbezug aufgedeckt wird („Deanonymisierung“); das Restrisiko 
besteht in vorhandenem oder erwerbbaren Zusatzwissen, möglichem Zeit- 
und Aufwandseinsatz oder neuen technischen Möglichkeiten. Strengge- 
nommen gibt es keine anonymen Daten und man müsste stattdessen von 
personenbeziehbaren Daten sprechen. 


Pragmatisch spricht man im Sinne des BDSG dann von anonymen Daten, 
wenn die Zuordnung „ nicht mehr oder nur mit einem unverhältnismäßig 
großen Aufwand an Zeit, Kosten und Arbeitskraft“ möglich ist?. 


7 Pfitzmann, Andreas/Köhntopp, Marit: Anonymity, Unobservability, and Pseudonymity - A 
Proposal for Terminology; in: Federrath, Hannes (Hrsg.): Designing Privacy Enhancing Tech- 
nologies; Proc. Workshop on Design Issues in Anonymity and Unobservability; LNCS 2009; 
2001; 1-9. Abrufbar unter: http://www.koehntopp.de/marit/pub/anon 


8 Hansen, Marit: Privacy Enhancing Technologies, Rn 50, in: Roßnagel (Hrsg): Handbuch 
Datenschutzrecht, München 2003. 


9 $ 3 Abs. 6 BDSG, der den Vorgangs des Anonymisierens, also des nachträglichen Entfernen 
des Personenbezuges regelt. 
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Pseudonymität lässt einen Benutzer agieren, ohne dass er seine Identität 
offen legen muss, erlaubt aber gleichzeitig eine Zurechenbarkeit dieser 
Aktion.!® Der Begriff kennzeichnet ein ganzes Spektrum zwischen Anony- 
mität und eindeutiger Identifizierbarkeit, ohne (zunächst) etwas darüber 
auszusagen ob, durch wen und wie ein Benutzer identifizierbar ist.!! Um 
Aktionen einem Benutzer zurechnen zu können, werden Pseudonyme als 
Kennungen verwendet, beispielsweise Decknamen oder Kennnummern. 
Das Wissen über die Zuordnung zwischen Pseudonym und Inhaber ent- 
scheidet, Aktionen anonym oder identifizierbar erfolgen. 


Man kann die drei folgenden Arten von Pseudonymen unterscheiden!?: 
öffentliche Pseudonyme, anfänglich nichtöffentliche Pseudonyme, anfäng- 
lich nichtzugeordnete Pseudonyme. Ist die Zuordnung von Inhaber und 
Pseudonym allgemein bekannt, so spricht man von öffentlichen Pseudo- 
nymen (z.B. Telefonnummern); der Personenbezug lässt sich sehr leicht 
herstellen. Bei (anfänglich) nicht-öffentlichen Pseudonymen ist die Zuord- 
nungsregel nur (zunächst) wenigen Stellen oder Personen bekannt (z.B. 
Personalnummer, Kontonummer, Sozialversicherungsnummer); ob und wie 
leicht ein Personenbezug hergestellt werden kann, hängt vom Schutz der 
Zuordnungsregel ab. Eine Änderung des Pseudonyms ist meist möglich, 
liegt aber nicht immer im Einflussbereich des Inhabers (beispielsweise bei 
der Änderung einer Sozialversicherungsnummer). 


Schließlich spricht man von anfänglich nichtzugeordneten Pseudonymen 
(manchmal auch von anonymen Pseudonymen), wenn die Zuordnung 
anfänglich allen Parteien (ggf. mit Ausnahme des Inhabers) unbekannt ist 
(z.B. bei selbstgewählten Pseudonymen oder automatisch generierte Pseu- 
donymen). Solche Pseudonyme werden oft als Transaktionspseudonyme 
eingesetzt, etwa beim Online-Banking als sog. Transaktionsnummer 
(TAN). 


Der (nachträgliche) Ersatz von identifizierenden Angaben in personenbe- 
zogenen Daten durch Pseudonyme zur Abtrennung des Personenbezuges 
wird auch als Pseudonymisierung!* bezeichnet. Pseudonyme Daten sind 
solche personenbeziehbaren Daten, die mit Hilfe eines Pseudonyms oder 
Zuordnungsregel einer bestimmten Person zugeordnet werden können. Je 
nachdem, ob dem Datenverarbeiter diese Regel bekannt ist oder nicht, 
handelt es sich für ihn um personenbezogenen Daten oder nicht. Mit der 
Verfügbarkeit dieser Regel lässt sich also der Personenbezug steuern. 


10 Definition aus ISO 15408 (= Common Criteria Version 2.1), abrufbar unter 
http://www.commoncriteria.org 


11 Hansen, Marit: Privacy Enhancing Technologies, Rn 51 ff.; a.a.o. 
12 In Anlehnung an Pfitzmann/Köhntopp, vgl. Fn. 7. 


13 Transaktionsnummern lassen sich aber auch im kryptographischen Sinne als sog. „One- 
Time-Keys“ auffassen, weil sie nach einmaliger Benutzung ungültig sind. 


14 7B. § 3 Abs. 6a BDSG, §2 Abs. 7 Landesdatenschutzgesetz Schle swig-Holstein. 
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Beispiele für solche Pseudonymisierungen sind die Ersetzung von Patien- 
tennamen durch laufenden Nummern bei Laboruntersuchungen oder me- 
dizinischen Forschungsvorhaben!?, aber auch der öffentliche Aushang von 
Klausurergebnissen und Matrikelnummern (anstelle des Namens) an Uni- 
versitäten!®. 


Pseudonyme können im Laufe der Zeit ihren Charakter ändern; ein Bei- 
spiel ist die Telefonnummer einer Person: Vor etwa 20 Jahren dürfte es für 
eine Privatperson nahezu unmöglich gewesen sein, zu einer gegebenen 
Anschlussnummer in einer großen Stadt den Teilnehmernamen zu ermit- 
teln (ohne einen Anruf bei der entsprechenden Nummer zu tätigen); dazu 
hätte man das örtliche Telefonbuch von Hand nach der Nummer durchsu- 
chen müssen. Im Zeitalter des PC, mit der Verfügbarkeit von Telefonnum- 
mersammlungen auf CD-ROM und der Möglichkeit zur Inverssuche!? ist 
dies heutzutage im Allgemeinen kein Problem mehr. Aus einem anfänglich 
nicht-Ööffentlichen Pseudonym ist ein öffentliches Pseudonym geworden. 


Verkettung schließlich bezeichnet die Zusammenführung von Daten oder 
Informationen, die häufig mittels identifizierender Merkmale oder Pseudo- 
nyme geschieht. Ein Beispiel ist die Zusammenführung und der Abgleich 
verschiedener Erkrankungen eines Patienten mit Hilfe eines Pseudonyms 
zu Forschungszwecken, etwa beim Schleswig-Holsteinischen Krebsregis- 
ter18. 


Personenbezug biometrischer Daten 


Untersucht man biometrische Daten daraufhin, ob sie personenbezogen 
sind, so kommt man zu ganz unterschiedlichen Ergebnissen !?: 


e Unter biometrischen Rohdaten gibt es solche, die für das menschliche 
Gehirn ohne weiteres leicht und schnell zu verarbeiten und zu verglei- 
chen sind, und andere, bei denen dies nur mit Mühe oder gar nicht 
gelingt. Beispiele für die erste Gruppe sind Bilder von Gesichtern oder 
- eingeschränkt - Stimmaufnahmen, Beispiele für die zweite Gruppe 
Aufnahmen von Ohren, Fingerabdrücken, Handrücken etc. Biometri- 
sche Rohdaten der ersten Gruppe erlauben es den Menschen, ohne 


15 S, dazu auch Weichert, T.: Anonymität und Pseudonymität im Medizinbereich, in diesem 
Band, S. 95 ff. 


16 Letzteres ist ein eher schlechtes Beispiel, weil eine Matrikelnummer geradezu ein öffentli- 
ches Pseudonym ist bzw. leicht von Unbefugten dem Inhaber zugeordnet werden kann. 
Besser wären selbstgewählte Pseudonyme. 


17 Inverssuche: Eingabe der Telefonnummer und Suche des Namen, im Gegensatz zur übli- 
chen Funktionalität, wo zu bekanntem Name die Telefonnummer gesucht wird. Zwar werden 
Programme zur Inverssuche in Deutschland nicht mit den CD-ROMs der Telefonnummern 
ausgeliefert, doch sind solche Ergänzungsprogrammae leicht im Internet zu finden. 


18 Informationen zum Schleswig-Holsteinischen Krebsregister sind unter 
http://www.aeksh.de/8quali/vs/index.htm abrufbar; s.a. 19. Tätigkeitsbericht des Lan desbe- 
auftragten für den Datenschutz Schleswig-Holstein 1997, Landtagsdrucksache LT 14/600, Tz. 
4.8.1. 


19 Gundermann/Probst: Biometrie, Rn. 45 ff.; in Roßnagel (Hrsg.): Handbuch des Daten- 
schutzrechts, München 2003. 
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weiter Kenntnisse bestimmte Personen wieder zu erkennen und direkt 
zu adressieren. Sie sind personenbezogen. Dies gilt nicht für die zwei- 
te Gruppe, denn hier müssen weitere Informationen hinzugezogen 
werden, um die Rohdaten einer bestimmten Person zuordnen zu kön- 
nen. Sie sind personenbeziehbar. Fehlen einer Daten verarbeitenden 
Stelle diese Kontextinformationen, so ist ein Personenbezug zu vernei- 
nen. 


Aus Templates lassen sich im Allgemeinen die Rohdaten nicht zurückge- 
winnen. Um zu Templates einen Personenbezug herzustellen, müssen 
diese mit anderen Templates verglichen werden, die ihrerseits mit Hinwei- 
sen auf die Person verknüpft sind. Dazu müssen sowohl der Vergleichsal- 
gorithmus als auch eine Sammlung von Templates mit weiteren Adressie- 
rungsinformationen (Name, Kennnummer etc.) vorliegen. Das Verfahren ist 
mit der in Abschnitt 1.1 beschriebenen Identifikation zu vergleichen, die 
einem „unbekannten“ Template diejenigen Adressierungsinformationen 
zuweist, die mit dem besten passenden Template der Sammlung verknüpft 
sind. Da solche Algorithmen und Vergleichsinformationen derzeit nur sehr 
eingeschränkt verfügbar sind, kann man bei reinen Templates (ohne zu- 
sätzliche Daten) einen Personenbezug verneinen. 


Biometrische Daten als Pseudonym 


Da biometrische Rohdaten personenbezogen sein können oder ein Bezug 
mehr oder weniger leicht hergestellt werden kann, sind sie nicht anonym. 
Die daraus berechneten Templates weisen selbst keinen Personenbezug 
auf, wenn sie nicht mit anderen Daten verknüpft sind. Sie können aber 
eine solche Verknüpfung leisten und daher als Pseudonyme wirken. Im 
Sinne der Definitionen in Abschnitt 3.2 wären sie als anfänglich nichtöf- 
fentliche Pseudonyme zu bezeichnen. 


Biometrische Verfahren können in vielen Zusammenhängen eingesetzt 
werden. In der Vergangenheit gab es sehr viele unterschiedliche Verfahren 
mit unterschiedlichen Verarbeitungs- und Vergleichsalgorithmen am Markt. 
Die zu einem biometrischen Rohdatum erzeugten Templates waren im 
Allgemeinen nicht untereinander vergleichbar; dieser Umstand wurde in 
den einschlägigen Publikationen der Hersteller als besonderes Sicher- 
heitsmerkmal dargestellt, weil so eine Verkettung von Informationen mit 
Hilfe von Templates (bis hin zur Herstellung eines Personenbezuges) er- 
schwert war. Der besondere Schutz lag und liegt - nach Ansicht der Her- 
steller — darin, dass für einen Benutzer verschiedene Verfahrensanbieter 
verschiedene Pseudonyme generieren. 


Kommen hingegen - etwa aufgrund von Standardisierungen?? - immer 
dieselben technischen Verfahren zum Einsatz, so werden für eine Person 


20 In der Vergangenheit wurden vor allem Austauschformate für biometrische Daten und 
Algorithmen genormt, die es erlaubten, in einem System biometrische Algorithmen mitsamt 
ihrer spezifischen Templatestruktur gegeneinander auszutauschen. Zukünftig geht der Trend 
zu genormten Templatestrukturen (etwa im Bereich der Fingerabdruckverfahren) mit der 
Folge, dass verschiedene Hersteller zwar unterschiedliche Vergleichsalgorithmen, aber die- 
selbe Templatestruktur verwenden und somit die Templates verschiedenen Hersteller unter- 
einander vergleichbar werden. 
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stets die gleichen?! Templates erzeugt und gespeichert. Das biometrische 
Pseudonym und häufig auch die Zuordnung zur Personen werden mit der 
Zeit einem immer größer werdenden Kreis bekannt, weil sie in immer 
mehr Systemen eingelernt und gespeichert werden. Auch ein Austausch 
von Rohdaten oder Templates (inkl. der zugehörigen Personenidentität) 
zwischen verschiedenen Betreibern biometrischer Verfahren wird um so 
interessanter, je universeller die Daten verarbeitet werden können. Die 
Templates werden auf diese Weise — gewollt oder ungewollt - zu öffentli- 
chen Pseudonymen. Wenn aber praktisch jedermann über das Pseudonym 
und seine Zuordnung zur Person verfügt oder verfügen kann, ist eine 
wirksame Pseudonymisierung durch biometrische Verfahren im daten- 
schutzrechtlichen Sinne nicht mehr möglich. Vielmehr wirken diese im 
Gegenteil als universelles Personenkennzeichen, machen Daten personen- 
beziehbar und erlauben eine Verkettung von personenbezogenen Daten. 


Die im nächsten Abschnitt geschilderten Verfahren versuchen, Abhilfe 
gegen diesen aus Sicht des Datenschutzes unbefriedigenden, ja geradezu 
gefährlichen Umstand zu schaffen. Die Idee besteht darin, bei der in Ab- 
schnitt 3.2 genannten Pseudonymisierung keine biometrischen Daten, die 
als Pseudonym eine dauerhafte Bindung zum Inhaber aufweisen, zu ver- 
wenden, sondern in einem zweistufigen Prozess das zur Pseudonymisie- 
rung verwendetet Pseudonym und die Zuordnung zum Inhaber durch ein 
„biometrisches Pseudonym“ zu trennen. 


Templatefreie Verfahren 


Templatefreie Verfahren, die gelegentlich auch als ”anonyme Biometrie” 
bezeichnet werden, stehen erst am Anfang der technischen Entwicklung. 
Vom Grundsatz her verwenden sie die biometrischen Rohdaten, um einen 
eindeutigen kryptographischen Schlüssel zu konstruieren“. Die Problema- 
tik der Varianz biometrischer Rohdaten, der man in den üblichen Verfah- 
ren durch geeignete Konstruktion des Vergleichsalgorithmus und die Fest- 
legung der Toleranzbereiche begegnet, wird hier in die Konstruktion des 
kryptographischen Schlüssels verlagert. So müssen die unterschiedlichen 
Rohdaten, die bei Aufnahmen desselben biometrischen Merkmals gemes- 
sen werden, stets zu demselben biometrischen Schlüssel führen; Merkmale 
unterschiedlicher Personen müssen hingegen verschiedene Schlüssel erge- 
ben. 


Mit Hilfe dieses Schlüssels wird beim Enrolment ein zufälliger Klartext (z.B. 
eine Zufallszahl) gewählt, dieser verschlüsselt und sowohl Klartext als 


21 Die T emplates sind wegen der in Abschnitt beschriebenen Veränderung der Rohdaten 
nicht identisch, werden aber durch die Vergleichsalgorithmen als „gleich“ klassifiziert. 


22 Donnerhacke, L.: Anonyme Biometrie. In: Datenschutz und Datensicherheit (DuD) 23/3 
(1999), S. 151 ff. 


23 Siehe auch: Biometric Encryption. In: Nichols, R.K. (Hrsg): ICSA Guide to Cryptography. 
McGraw-Hill 1999 (Chap. 22), wo technische Details der Umsetzung diskutiert werden, und 
das Verfahren ”virtuelle PIN” der Firma Cifro, www.cifro.com sowie das EU -Projekt Virtual 
PIN based on Biometrics (VIPBOB), abrufbar unter http://vipbob.gi-de.com. Zwar funktionie- 
ren diese Verfahren im Detail etwas anders als oben beschrieben; der Grundsatz der Funktion 
hingegen ist gleich. 
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auch verschlüsseltes Ergebnis (Chiffrat) gespeichert. Bei der Authentifizie- 
rung wird eine biometrische Messung vorgenommen und daraus ein 
Schlüssel berechnet, mit dem der gespeicherte Klartext verschlüsselt wird. 
Stimmen dieses Ergebnis und das gespeicherte Chiffrat überein, so zeigt 
dies zunächst, dass in beiden Fällen derselbe biometrische Schlüssel ver- 
wendet wurde. Man folgert nun, dass die beteiligte Person in beiden Fällen 
die gleiche ist, weil sich nur bei gleichen Personen der gleiche Schlüssel 
ergibt. Fasst man das Klartext-Chiffrat-Paar als Pseudonym auf, so lässt sich 
keine Zuordnungsregel angeben; eine Authentifizierung erfolgt vielmehr 
durch eine positive Antwort auf die Frage, ob Benutzer und Pseudonym 
(biometrisch gesehen) zueinander gehören. 


Werden für dieses Verfahren geeignete kryptographische Verfahren“? ein- 
gesetzt, sind aus der Kenntnis von Klartext und Chiffrat keine Rück- 
schlüsse auf den Schlüssel und damit das biometrische Merkmal möglich. 
Wenn in verschiedenen Anwendungsszenarien für einen Benutzer zwar 
dasselbe biometrische Verfahren, aber verschiedene Zufallszahlen gewählt 
werden, ergeben sich verschiedene Klartext-Chiffrat-Paare, die alle zu 
demselben biometrischen Schlüssel gehören. Sie sind aber untereinander 
nicht vergleichbar: Sofern geeignete kryptographische Techniken einge- 
setzt werden, ist für einen Außenstehenden nicht feststellbar, ob zwei Klar- 
text-Chiffrat-Paare zu demselben oder zu zwei verschiedenen Schlüsseln 
gehören. 


Die aus den Klartext-Chiffrat-Paaren bestehenden Pseudonyme sind - in 
Gegensatz zu den in Abschnitt beschriebenen Templates - nicht verkett- 
bar. Auch die Erstellung von Profilen, die durch Abgleich biometrischer 
Daten und Verwendung als einheitlicher Zugriffsschlüssel denkbar ist, 
kann hierdurch verhindert werden. 


Kommen bei verschiedenen Betreibern identische biometrische Systeme 
mit zentraler Datenspeicherung zum Einsatz, so besteht dennoch die in 
Abschnitt beschriebene Gefahr einer Weitergabe biometrischer Daten in 
indirekter Form durch die Weitergabe von Klartext-Chiffrat-Paaren zusam- 
men mit einer Identifizierungsinformation: Nimmt der Empfänger diese in 
seine Datenbank auf, so auch er in der Lage, einen Benutzer wieder zu 
erkennen oder zu identifizieren. Es besteht auch hier die Gefahr, dass aus 
den anfänglich nichtöffentliche Pseudonymen durch Übermittlung von 
Pseudonym und Inhaber in der Zukunft öffentlichen Pseudonyme werden. 
Diese Gefahr besteht aber bei jedem Pseudonym, dessen Bindung an ei- 
nen Inhaber Dritten bekannt ist. 


Abhilfe ist hier möglich, wenn bei der Bildung des Klartext-Chiffrat-Paares 
ein Teil des Klartextes (oder der gesamte Klartext) nur im Benutzerbereich 
(s. Abschnitt ) gespeichert wird und folglich nicht übermittelt werden 
kann.?? Dies ist auf technische Art sicherzustellen, etwa mit Hilfe vertrau- 
enswürdiger Endgeräte oder geeigneter kryptographischer Techniken, 
etwa indem der Benutzer einen zweiten Schlüssel zur Verfügung stellt, der 


24 S. z.B. Schneier, Bruce: Angewandte Kryptographie, Bonn 1996, Kapitel 1. 
25 Donnerhacke, L. Anonyme Biometrie. In: Datenschutz und Datensicherheit (DuD) 23/3 
(1999), S. 153 f. 
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auf einer Chipkarte o. Ä.. gespeichert ist und der bei der Verschlüsselung 
des Klartextes zusammen mit dem biometrischen Schlüssel verwendet 
wird. In dem obigen Modell entspricht diese Art von Pseudonym dem 
anfänglich nichtzugeordneten Pseudonym. 


Anwendungen 


Ist ein Klartext-Chiffrat-Paar keinem Benutzer zugeordnet, kann man von 
einem anonymen Verfahren sprechen. Einsatzbereiche dafür sind bei- 
spielsweise Zugangskontrollen, bei denen eine Protokollierung der Benut- 
zung nicht notwendig ist. In Analogie zu einem mechanischem Schloss mit 
mehreren Schlüsseln kann eine Benutzung nur bei Berechtigung erfolgen 
(wenn der Benutzer im Besitz des Schlüssels ist oder ein Klartext-Chiffrat- 
Paar erstellt wurde), aber im Einzelfall nicht festgestellt oder auf einen 
Benutzer zurückgeführt werden. 


Bei Verknüpfung des Klartext-Chiffrat-Paares mit einem weiteren Pseudo- 
nym, etwa einem Nutzernamen eines Computersystems, einer Kontonum- 
mer o. Ä.., können pseudonyme Authentifikationssysteme realisiert wer- 
den. Um einen Personenbezug herzustellen, ist die Auflösung des zweiten 
Pseudonyms notwendig, das mit dem Klartext-Chiffrat-Paar verbunden ist; 
der Personenbezug wird nicht mit Hilfe der Biometrie vorgenommen. Die 
sichere Authentifikation, die von der starken Bindung zwischen biometri- 
schem Schlüssel und Klartext-Chiffrat-Paar herrührt, ist davon nicht be- 
troffen. Schließlich ist ein namentlicher Einsatz möglich. 


Die folgende Tabelle zeigt drei Einsatzbereiche. 


Speicherung von identifizierenden 
Daten => namentlicher Einsatz 


Speicherung von Pseudonymen als 
IX3P, Kıxapı Cıxap identifizierende Daten 


=> pseudonymer Einsatz 
(z.B. Webshop) 


identifizierenden Daten 


=> anonymer Einsatz 
(z.B. Türschloss) 





Aus datenschutzrechtlicher Sicht sind Verfahren dieser Art zu bevorzugen, 
da in ihnen die Forderung des Systemdatenschutzes nach Datensparsam- 
keit und Datenvermeidung erfüllt werden kann. 


Abschluss 


Das Recht auf Anonymität in der Diskussion 


Rainer Bökel 


1 Teilnehmer und Fragestellung 


Als Abschluss der Sommerakademie 2002 in Kiel fand eine Podiumsdiskus- 
sion unter dem Thema „Unser Recht auf Anonymität“ statt. Die Diskussion 
wurde geleitet von Prof. Dr. Albert von Mutius. Teilnehmer auf dem Po- 
dium waren Christiane Schulzki-Haddouti, freie Journalistin aus Bonn, Dr. 
Johann Bizer, wissenschaftlicher Assistent an der Johann Wolfgang Goe- 
the-Universität, Frankfurt a.M., Gerold Hübner, Chief Security Officer der 
Fa. Microsoft, Unterschleißheim, Harald Summa, Geschäftsführer des eco 
Forum — Verband der deutschen Internetwirtschaft e.V., Köln, sowie Ing- 
mar Weitemeier, Direktor des Landeskriminalamtes Mecklenburg-Vor- 
pommern. 


Im Rahmen der Diskussion wollte von Mutius drei Fragenkomplexe erör- 
tern lassen. Zunächst sollte geklärt werden, ob es ein Recht auf Anonymi- 
tät überhaupt gibt, um dann auf tatsächliche Risiken und Gefährdungen für 
eine derart geschützte Anonymität einzugehen und abschließend Rechtfer- 
tigungsgründe für Eingriffe in die Anonymität zu diskutieren. 


2 Die erste Ebene: Existenz und Herleitung eines Rechts auf Anonymität 


Die erste Ebene der Diskussion schloss sich an die Vorträge des Vormittags 
an, insbesondere an den von Prof. Dr. Erhard Denninger. Fine Aussage 
dieses Vortrages war, dass in der Rechtsprechung des Bundesverfassungs- 
gerichts ein Grundrecht auf Anonymität bislang nicht anerkannt wurde, ein 
solches aber auch nicht ausgeschlossen wurde. von Mutius stellte daher 
zur Diskussion, ob es denn ein solches Recht überhaupt gebe. Dabei soll- 
ten folgende Eckpunkte eines Rechtes auf Anonymität geklärt werden: 
Zunächst sei entscheidend, welchen Rang dieses Recht habe, ob es sich 
also als Grundrecht oder nur als Ausfluss einfachen Rechts darstelle. So- 
dann sei zu erörtern, ob ein Recht auf Anonymität ein originäres Recht sei 
oder ob es sich um ein derivatives Recht handle. Die Frage war also, ob 
jede selbstgesetzte Kommunikationsschranke um ihrer selbst willen ge- 
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schützt sein sollte, oder ob die Anonymität als selbstbestimmte Nichtiden- 
tifizierbarkeit nur einen vorgelagerten Schutz für andere Persönlichkeits- 
rechte darstelle, ein Recht auf Anonymität also auch nur ein aus anderen 
Rechten abgeleitetes Recht sei. Dabei ging von Mutius davon aus, dass ein 
Recht auf Anonymität nicht mit dem Recht auf Privatheit gleichzusetzen 
sei. Vielmehr habe ein solches Recht einen weitergehenden Schutzinhalt. 
Als letzten Aspekt stellte von Mutius den Ansatz zur Diskussion, die Frage 
nach einem subjektiven Recht auf Anonymität sei erst deshalb aufgenom- 
men, weil derzeit eine besondere Gefährdung der Anonymität sichtbar 
werde; ohne diese aktuelle oder auch nur gefühlte Gefährdung wäre der 
Wunsch nach Anonymität nicht so deutlich. 


Gegenstand einer wirklich kontroversen Diskussion war in diesem Zu- 
sammenhang eigentlich nur die rechtstatsächliche Ausgangslage. Bizer 
begann hierzu mit einer grundlegenden Beschreibung der Anonymität, die 
Elemente dessen aufgriff, was Prof. Dr. Beate Rössler in ihrem Vortrag vor- 
gezeichnet hatte. Für Bizer gehört Anonymität zum umfassenderen Kom- 
plex der Privatheit. Die Anonymität sei daher auch Teil der Selbstdar- 
stellung. Dazu begann er zunächst, seine Sicht der Selbstdarstellung zu 
beschreiben. Selbstdarstellung sei Ausdruck der Diskrepanz zwischen 
Selbstvorstellung und tatsächlichem Sein. Selbstdarstellung diene dazu, 
seine Selbstvorstellung nach außen zu tragen. Geschützt sei die Selbstdar- 
stellung durch das Recht auf informationelle Selbstbestimmung. Dieser 
Schutz beinhalte jegliche Form der Selbstdarstellung, also auch wechselnde 
Selbstdarstellungen. Eine besondere Form der Selbstdarstellung sei es aber 
auch, sich nicht darzustellen, also keine Selbstvorstellungen nach außen zu 
tragen und damit auch keine Fremdvorstellungen über die eigene Person 
zu erzeugen. Wer sich aber in dieser Weise nicht darstelle, bleibe anonym. 
Wenn also Anonymität eine mögliche Form der Selbstdarstellung und da- 
mit der informationellen Selbstbestimmung sei, dann sei ein Recht auf 
Anonymität nur ein Teil des bereits bekannten Rechts auf informationelle 
Selbstbestimmung. Als Beispiel nannte Bizer den Anspruch auf Datenlö- 
schung nach geltendem Datenschutzrecht. Dieser Anspruch sei bereits eine 
einfachgesetzliche Ausprägung des Rechts auf Anonymität. Daraus zog 
Bizer das Fazit, wenn ein Recht auf Anonymität bereits existiere, sei nicht 
die Frage nach dem Grundsatz von Bedeutung, sondern die Frage nach 
den Grenzen dieses Rechtes. 


Weitemeier stimmte diesem Ansatz zu: Auch die staatlichen Strafverfol- 
gungsorgane erkennten ein Recht auf Anonymität an. Als Beispiele nannte 
er einerseits anonyme Hinweise in der Strafverfolgung, deren Ursprung 
nicht nachgegangen werde. Darüber hinaus sei Anonymität einzelner Per- 
sonen auch in der Strafverfolgung unverzichtbar, etwa wenn es um den 
Schutz verdeckter Ermittler oder gefährdeter Zeugen gehe. Dem entspre- 
che auch, dass das der Anonymität entgegenstehende Unmittelbarkeits- 
prinzip des Strafprozesses erst im Hauptverfahren gelte, nicht aber schon 
im Bereich der vorgelagerten Ermittlungen. Eine Grenze müsse das Recht 
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auf Anonymität aber zumindest in notwendigen Eingriffen zum Zwecke 
der Strafverfolgung finden. 


Vertiefend wollte von Mutius dann klären, ob das soeben festgestellte 
Recht auf Anonymität ein allgemeines Recht auf Anonymität sei, oder ob 
es nur in bestimmten Rechtsrelationen gelte. 


Dazu stellte Denninger im Rückgriff auf die Ausführungen Bizers klar, dass 
es kein eigenständiges Recht auf Anonymität gebe. Vielmehr sei das Recht 
auf Anonymität ein negatives Selbstdarstellungsrecht und damit eine wei- 
tere Dimension des Rechts auf informationelle Selbstbestimmung, sozusa- 
gen ein „Querschnittsrecht“. Allgemein sei das Recht auf Anonymität inso- 
fern, als es Teil des allgemeinen Persönlichkeitsrechtes sei. 


Daran anknüpfend wollte von Mutius wissen, ob Denninger das von ihm 
postulierte Recht auf Anonymität sachlich auf den kommunikativen Be- 
reich beschränkt sehen wolle. Denninger stimmte dem zu: gleichzeitig gab 
er einen sehr weiten Kommunikationsbegriff vor. Seiner Ansicht nach finde 
Kommunikation in allen Lebensbereichen statt, in denen Information flie- 
Be. Kommunikation sei Grundvoraussetzung auch für die Verwirklichung 
anderer Rechte. 


Im Anschluss daran äußerte sich Prof. Dr. Friedrich von Zezschwitz, hessi- 
scher Datenschutzbeauftragter, zum Rang eines Rechts auf Anonymität. Als 
Teil des Rechtes auf informationelle Selbstbestimmung sei es ein negatives 
Grundrecht, nämlich das negative Persönlichkeitsrecht. Daraus zog von 
Mutius dann den Schluss, dass ein Recht auf Anonymität den üblichen 
Schranken und Gegenschranken eines Grundrechts unterworfen sei. Aus- 
drücklich sprach er dabei Gesetzesvorbehalt, Bestimmtheitsgrundsatz und 
insbesondere die mittelbare Wirkung im Privatrecht an. 


Als rechtstatsächlichen Ausgangspunkt der Diskussion um ein Recht auf 
Anonymität nannte Bizer die unmittelbare Gefährdung der Anonymität 
durch die elektronische Kommunikation: Es gebe durch die Massenkom- 
munikation, beginnend mit der Massenpost und in der Gegenwart poten- 
ziert durch die Informationstechnologie, eine Selbstdarstellung, die der 
Verfügbarkeit des Kommunizierenden entzogen sei, aber für Dritte verfüg- 
bar werde. Dieser tatsächliche Ansatz fand im Laufe der Diskussion Zu- 
stimmung in einem Beitrag von Rigo Wenning vom World Wide Web Con- 
sortium (W3C), der in der Anonymität den Ur- oder Normalzustand sah. 
Erst die selbstbewirkte Außendarstellung hebe die Anonymität au f. Aller- 
dings sei der beständige Informationsfluss, der der Anonymität entgegen- 
wirke, ebenso ein Normalzustand. Eine ganz entgegengesetzte Auffassung 
vertrat Roman Maczkowsky vom Unabhängigen Landeszentrum für Daten- 
schutz Schleswig-Holstein: Gerade im Internet, um das sich die Diskussion 
im Wesentlichen drehte, sei Anonymität nicht der Normalzustand. Er be- 
greife Anonymität als die Nichtidentifizierbarkeit in einer Gruppe. Das 
Internet hingegen basiere gerade auf einer bedingten Identifizierbarkeit 
innerhalb der Gruppe der Nutzer. Der ständige Datenfluss, ausgehend vom 
einzelnen Nutzer, ohne Einflussmöglichkeit, sei gerade der Normalzustand 
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im Internet, nicht die Anonymität. Diesen kontroversen Auffassungen trat 
Bizer entgegen, der einen Normalzustand für nicht bestimmbar hielt. Au- 
ßerdem hielt er es auch nicht für notwendig einen Normalzustand zu 
bestimmen. Wichtig sei vor allem, dass konkrete Kommunikationsbedin- 
gungen für den Einzelnen bestimmbar und verfügbar seien. Der Nutzen 
eines Rechtes auf Anonymität sei es, diese Bedingungen zugunsten des 
Kommunizierenden in beide Richtungen zu schützen. Diesen tatsächlichen 
Ansatz griff auch Schaar, Stellvertreter des Hamburgischen Datenschutzbe- 
auftragten, auf: Man müsse je nach Art der Kommunikation die Schutzwir- 
kung und Intensität eines Rechts auf Anonymität unterschiedlich beurtei- 
len: Es sei ein Unterschied, ob man im Internet surfe, E-Mails verschicke 
oder eine eigene Webseite betreibe. Entsprechendes gelte auch offline, wo 
es darum gehe, anonym zu rezipieren, nicht aber anonym zu publizieren. 
Daher müsse ein Recht auf Anonymität differenziert darauf reagieren. Auf 
Grund dieser unterschiedlichen Ansätze blieb damit offen, ob es ein Leis- 
tungsrecht auf Herstellung von Anonymität geben müsse oder ein Abwehr- 
recht auf Bewahrung der bereits vorhandenen Anonymität. 


Die Sichtweise der Industrie stellte im Laufe der ersten Diskussionsebene 
Hübner dar: Die Begründung eines Rechtes auf Anonymität ergebe sich 
auch für ihn „bruchlos“ aus dem Recht auf informationelle Selbstbestim- 
mung. Interessanter seien aus Sicht der Industrie die sich daran anschlie- 
ßenden Fragen: Gelte ein Recht auf Anonymität lediglich als Grundrecht 
gegenüber dem Staat oder auch unmittelbar zwischen Privaten? Vollstän- 
dige Anonymität zwischen Privaten verhindere eine funktionierende Wirt- 
schaft. Außerdem werde vonseiten der Kunden der Softwareindustrie nicht 
viel Wert auf Anonymisierungstechniken gelegt. Weiterhin gebe es einen 
beständigen Konflikt zwischen Strafverfolgungsorganen und Datenschutz- 
behörden darüber, wie sicher Anonymisierungstechniken sein dürften. 
Dies erschwere die Produktentwicklung der Industrie. 


Die zweite Ebene: tatsächliche Risiken und Gefahren für die Anonymität 


Die zweite Ebene der Diskussion eröffnete von Mutius nach einer Frage 
von Dr. Alexander Dix, Landesbeauftragter für den Datenschutz und für 
das Recht auf Akteneinsicht Brandenburg. Er berichtete von einem von 
Interpol unterstützten Vorschlag der dänischen EU-Ratspräsidentschaft. 
Danach sollen alle Verbindungsdaten des IuK-Bereichs anlassunabhängig 
für ein Jahr gespeichert werden. Seine Frage an Weitemeier war daher, 
warum nicht auch alle in der offline-Welt hinterlassenen Spuren für ein 
Jahr gespeichert werden müssten. Dem trat Weitemeier später mit dem 
Argument entgegen, in der offline-Welt müssten Spuren nicht besonders 
gespeichert werden; sie erhielten sich von selbst. 


Als eigentliche Eröffnung der zweiten Ebene nahm Schulzki-Haddouti eine 
Einschätzung der Praxis vor. Gerade Krypto-Aktivisten, die es besser wis- 
sen müssten, verwendeten im privaten Bereich wenig Energie auf den 
Schutz ihrer Anonymität. Selbst einfache Möglichkeiten wie die Verschlüs- 
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selung von E-Mail per pgp oder die Deaktivierung von Cookies im Internet 
würden nur selten genutzt. Problematisch seien aber eigentlich auch noch 
nicht die tatsächlichen Angriffe auf die Anonymität, sondern die verbreitete 
Ignoranz gegenüber potenziellen Gefahren im Internet. Auf Nachfrage von 
von Mutius vertrat Schulzki-Haddouti, die wahrscheinlichste Ursache die- 
ser Ignoranz sei schlicht Bequemlichkeit. Viele der technischen Möglich- 
keiten („Tools“) zum Schutze der Anonymität seien außerdem zu kompli- 
ziert, um sie nebenher zu verstehen und anzuwenden. 


Summa sah als zentrales Problem der Anonymität, dass es keine Abstufun- 
gen gebe: Entweder man bleibe völlig anonym oder nicht. An der Vorrats- 
datenspeicherung befürchtete er, dass die immense Datenmenge eine sau- 
bere Auswertung nicht zulasse und es deswegen zwangsläufig zu Fehlern 
kommen werde. Das wiederum bezweifelte Schulzki-Haddouti, weil mo- 
derne Billing-Systeme zur automatischen Betrugserkennung auffällige Nut- 
zungsarten sehr präzise erkennen könnten. 


Gebhard von Reibnitz, externer Datenschutzbeauftragter, sah der gesamten 
Diskussion um Gefährdungen der Anonymität durch den zunehmenden 
Exhibitionismus der Gesellschaft den Hintergrund entzogen. Gerade Fern- 
sehtalkshows und private Homepages seien Beispiele für diesen Trend. 


Dem pflichtete Marit Hansen vom Unabhängigen Landeszentrum für Da- 
tenschutz Schleswig-Holstein bei. Sie beklagte eine schizophrene Gesell- 
schaft, in der einerseits Anonymisierungstechniken ganz selbstverständlich 
angewandt würden, andererseits aber auch der von von Reibnitz bereits 
beklagte Exhibitionismus herrsche. Dabei gebe es auch einen Generatio- 
nenunterschied. Während Kinder z. T. sehr gut informiert seien, seien 
ältere Generationen z. T. schlicht desinteressiert und sorglos. Wichtig sei 
daher, das Bewusstsein für die Gefahren zu schärfen. Ein jeder solle selbst 
über sein Anonymitätsbedürfnis entscheiden. Eine wirkliche Entscheidung 
darüber bedürfe aber eines Problembewusstseins, das erst noch verbreitet 
werden müsse. Ebenso sah auch Jörg Hinrichsen die Extreme, nannte e- 
benfalls aber als vordringliches Problem die Informationsdefizite bei den 
Nutzern und die Komplexität der Anonymisierungstechniken. Als besonde- 
res Problem nannte er Schulen, in denen Internetnutzung kritiklos propa- 
giert werde, ohne über die damit verbundenen Risiken aufzuklären. Auf 
dieser Ebene verblieb die Diskussion für einige Zeit; von verschiedenen 
Seiten wurde deutlich gemacht, nicht die absolute Anonymität aller Nutzer 
des Internet werde gefordert, sondern ein bewusster, aufgeklärter und 
selbstbestimmter Umgang mit der eigenen Selbstdarstellung nach außen. 
So gab etwa Norbert Luckhardt dem Recht auf Anonymität primär eine 
Warnfunktion, sein eigenes Verhalten vorsichtiger zu handhaben. Ab- 
schluss dieses Punktes war der Einwurf von Christian Krause vom Unab- 
hängigen Landeszentrum für Datenschutz Schleswig-Holstein, die vorhan- 
denen Anonymisierungstechniken seien für geübte Anwender eine „Fin- 
gerübung“. Wer tatsächlich anonym bleiben wolle, der schaffe das auch. 
Insofern treffe eine Überwachung und Vorratsdatenspeicherung von Ver- 
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bindungsdaten überwiegend die Falschen, während die eigentlich Ge- 
suchten unentdeckt blieben. 


von Zezschwitz wollte die Diskussion nicht auf das Internet beschränkt 
sehen. Vielmehr sei auch die Videoüberwachung Öffentlicher Plätze und 
Straßen eine bedeutende Einschränkung des Rechts auf Anonymität. Aller- 
dings habe er gerade ein System kennen gelernt, das automatisch alle 
Gesichter auf Überwachungsvideos verschlüsseln und anschließend ein- 
zeln wieder entschlüsseln könne. Es gebe also Möglichkeiten der Video- 
überwachung unter größtmöglicher Wahrung der Anonymität — sie müss- 
ten nur auch eingesetzt werden. Andere Diskussionsteilnehmer gingen 
darauf allerdings nicht ein. 


Weiterhin fragte von Mutius nach Möglichkeiten, ein Bewusstsein für Ge- 
fährdungen der Anonymität in der Bevölkerung zu schaffen. Lediglich 
Summa forderte in diesem Bereich ein erhöhtes Engagement des Staates, 
ansonsten wurde auch hierauf nicht vertieft eingegangen. 


Die dritte Ebene: Schranken eines Rechtes auf Anonymität 


In der dritten Ebene der Diskussion wollte von Mutius auf Rechtferti- 
gungsgründe für Einschränkungen der Anonymität eingehen. Weitemeier 
hatte bereits im Verlauf der Diskussion darauf hingewiesen, dass das In- 
ternet nicht kriminalitätsfrei sei. Gerade der Warenbetrug im Bereich des E- 
Commerce habe jährliche Zuwachsraten von 50%. Er zog daraus den 
Schluss, Kryptierung für den privaten Schutz müsse erlaubt und möglich 
sein, aber die staatlichen Strafverfolgungsorgane müssten dennoch unge- 
hinderten Zugriff auf Inhalte und Verbindungsdaten haben. Demnach be- 
gann von Mutius diese Ebene mit der Strafverfolgung als Rechtfertigungs- 
grund für Eingriffe. 


Grundlegend nannte Bizer einen deutschen und internationalen Trend zur 
Nachfrage nach Anonymität, der in der Praxis aber technische Möglichkei- 
ten fehlten. Damit setzte er sich in Widerspruch zu einer früheren Aussage 
von Hübner, der berichtet hatte, die Firma Microsoft habe einen Paradig- 
menwechsel von der Funktionalität zur Anonymität vollzogen, bemerke 
aber im Bereich „privacy“ eine eher geringe Nachfrage. 


Allerdings konzentrierte sich die Diskussion in dieser Ebene sehr stark auf 
sog. Vorratsdatenspeicherung, wie sie erstmals von Dix angesprochen 
worden war. Bizer verwies auf die Praxis der Diensteanbieter, erlaubte 
Höchstspeicherfristen für Verbindungsdaten von derzeit sechs Monaten 
nicht auszunutzen. Die Zahlungsausfälle bei nach dieser Zeit noch offenen 
Rechnungen seien geringer als die Kosten einer sechsmonatigen Speiche- 
rung. Damit stelle sich die Frage, ob der Staat von den Diensteanbietern 
eine einjährige, anlassunabhängige Speicherung verlangen könne. Im Üb- 
rigen verbiete das Volkszählungsurteil des Bundesverfassungsgerichts eine 
derartige anlassunabhängige Datenspeicherung. Allerdings wollte Bizer 
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eine Vorratsdatenspeicherung auch nicht vorschnell pauschal ablehnen. 
Ein Ergebnis sei dann über einen Verhältnisausgleich zu erzielen. 


Den Kostenpunkt der Vorratsdatenspeicherung griff Dr. Thomas Petri vom 
Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein später 
noch einmal au f. Eine einzelne Telefonüberwachungsmaßnahme koste 
durchschnittlich 50.000,- Euro. Angesichts der sich daraus hochzurechnen- 
den Kosten für eine Vorratsdatenspeicherung stelle sich die Frage, ob eine 
derartige Belastung der Gesellschaft noch in einer Relation zum Nutzen für 
die öffentliche Sicherheit stehe. Außerdem bezweifelte Schulzki-Haddouti 
die Effektivität der Vorratsdatenspeicherung und stellte die Frage, ob nicht 
traditionelle Ermittlungsarbeit mit einem höheren Personaleinsatz als heute 
wesentlich bessere Ergebnisse erziele. 


Die letzte Frage von von Mutius, ob es denn außer der Strafverfolgung 
auch andere Rechtfertigungsgründe für Einschränkungen der Anonymität 
gebe, konnte vor dem Ende der Diskussion nicht mehr beantwortet wer- 
den. 


5 Fazit 


Ein Ergebnis konnte aus der Diskussion sehr schnell und angesichts der 
Fragestellung auch erstaunlich deutlich gezogen: Es bestand Einmütigkeit 
darüber, dass es ein Recht auf Anonymität gibt. Ebenso bestand weitge- 
hendes Einvernehmen über den Rang dieses Rechtes als Teil des Grund- 
rechts auf informationelle Selbstbestimmung. Auch über die Gefährdungen 
war man sich recht einig: Im Vordergrund standen nicht die tatsächlichen 
Gefahren für eine ungeschützte Anonymität, sondern das fehlende Be- 
wusstsein über ungewollte Außendarstellungen. Keine Einigkeit hingegen 
konnte über die Schranken des Rechts auf Anonymität erzielt werden, was 
aber auch mit der von Summa angesprochenen Problematik zusammen- 
hängen mag, dass man entweder anonym ist oder nicht — einen goldenen 
Mittelweg gibt es nicht. 


Auf dem Weg zum Identitätsmanagement - von der rechtlichen Basis 
bis zur Realisierung 


Marit Hansen 


1 Einleitung 


Reine Anonymität ist im Leben vielfach nicht möglich oder in der jeweili- 
gen Situation nicht gewünscht. Doch auch in solchen Fällen sollen Nutzer 
ihre Datenschutzrechte leicht wahrnehmen können. Datenschutzfördernde 
Identitätsmanagementsysteme unterstützen sie dabei technisch. 

In diesem Beitrag wird nach einer Einführung der rechtlichen Grundlagen 
dargestellt, welche Funktionalität ein datenschutzförderndes Identitätsma- 
nagementsystem erfüllen kann. Aspekte der Architektur eines Identitäts- 
managers in Nutzerhand werden ebenso angesprochen wie die Rollen und 
Aufgaben weiterer Akteure, die zu einem funktionierenden Identitätsma- 
nagement beitragen können. Danach wird skizziert, wie sich das Konzept 
von umfassenden datenschutzfördernden Identitätsmanagementsystemen 
in die Praxis umsetzen lässt. Ein Ausblick, wie das Leben in Zukunft mit 
Hilfe von Identitätsmanagementsystemen aussehen kann, beschließt diesen 
Beitrag. 


2 Die Basis: Das Datenschutzrecht 


Datenschutzfördernde Identitätsmanagementsysteme bauen auf dem Da- 
tenschutzrecht auf und erfüllen darüber hinaus die Grundsätze für „Priva- 
cy-Enhancing Technologies“, wie sie im Folgenden beschrieben werden. 
Das Datensparsamkeitsgebot als ein zentrales Konzept für Identitätsmana- 
gement wird in einem eigenen Abschnitt näher beleuchtet. 


2.1 Datenschutzgrundsätze 


Die Zahl der Datenschutzregelungen ist groß, viele Details mögen die 
Übersichtlichkeit trüben. Doch für den Zweck dieses Beitrages reicht das 
kleine Datenschutz-1x1 aus, das sich in etwa so zusammenfassen lässt: 


e Zulässigkeit: Die Verarbeitung personenbezogener Daten ist dann 
zulässig, wenn sie gesetzlich vorgeschrieben ist oder der Betroffene 
eingewilligt hat. 


e Erforderlichkeit und Datensparsamkeit: Die Verarbeitung perso- 
nenbezogener Daten ist grundsätzlich auf das erforderliche Maß zu be- 
schränken. Für Identitätsmanagements sind hier vor allem die Rege- 
lungen zu Anonymität und Pseudonymität interessant. 
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2.2 


2.3 


e Zweckbindung: Personenbezogene Daten dürfen grundsätzlich nur 
für den Zweck verwendet werden, für den sie erhoben werden. 


e  Betroffenenrechte: Betroffene haben insbesondere die folgenden 
Rechte in Bezug auf die Verarbeitung ihrer Daten: Einwilligung, Wi- 
derspruch, Auskunft, Unterrichtung, Löschung, Sperrung, Berichtigung. 


e Datensicherheit: Für die personenbezogenen Daten und ihre Verar- 
beitungsverfahren sind alle notwendigen und angemessenen techni- 
schen und organisatorischen Datensicherheitsmaßnahmen zu treffen. 


e Transparenz: Wenn auch in den meisten Gesetzen nicht mit einer 
eigenen Regelung bedacht, lässt sich doch ein Transparenzgebot ab- 
leiten: Beispielsweise ist nur eine informierte Einwilligung wirksam, 
das Recht auf Auskunft zielt auf die Transparenz der eigenen perso- 
nenbezogenen Daten im Verfahren, die Möglichkeit oder sogar Pflicht 
zur Unterrichtung bezieht sich auf die Funktionsweise des Datenverar- 
beitungsverfahrens, zur Gewährleistung der Datensicherheit sind 
Transparenz und Revisionssicherheit unabdingbar, und für den Be- 
reich der Verwaltung ist nachvollziehbares Handeln verpflichtend. 


Grundsätze für Privacy-Enhancing Technologies 


Soll nicht nur das gesetzlich geforderte Mindestmaß an Datenschutz erfüllt 
werden oder geht das technisch realisierte Maß an Datenschutz über den 
Stand der (verbreiteten) Technik hinaus, spricht man von Privacy-Enhan- 
cing Technologies (PET) oder datenschutzfördernder Technik. Zusätzlich 
zur technischen Umsetzung von Basisdatenschutzanforderungen ergeben 
sich folgende Grundsätze für datenschutzfördernde Technikgestaltung 
[Hans_02]: 


e Transparenz; 
e  _Datenvermeidung und Datensparsamkeit; 


e Systemdatenschutz, d.h. insbesondere technisch eingebauter Daten- 
schutz; 


e Selbstdatenschutz, d.h. Befähigung und Unterstützung der Nutzer, ihre 
Datenschutzrechte selbst wahrzunehmen und durchzusetzen, soweit 
möglich; 

e  _mehrseitige Sicherheit, d.h. es ist nur minimales Vertrauen in andere 
Parteien nötig [RaPM_96]. 


Wenn Informatiker Gesetze lesen... 


Im Zentrum des Datenschutzes steht stets der Personenbezug: Handelt es 
sich nämlich gar nicht um personenbezogene Daten, ist auch kein Daten- 
schutzrecht anzuwenden. Die Frage nach dem Personenbezug ist aller- 
dings in vielen Fällen gar nicht einfach zu beantworten, denn Personenbe- 
zug ist relativ: Wo für den einen der Personenbezug nicht herstellbar ist, 
mag dies für einen anderen durch zusätzliches Wissen sehr einfach sein. 
Ebenso kann sich die Einstufung, ob Daten für jemanden personenbezo- 
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gen sind, über die Zeit ändern, weil beispielsweise identifizierende Infor- 
mationen hinzukommen oder weil Schutzmechanismen wie z.B. Ver- 
schlüsselung der Daten in ihrer Wirksamkeit nachlassen. 


Das Datensparsamkeitsgebot fordert Informatiker heraus: 


1. 
2. 


Was bedeutet Datensparsamkeit genau? 


Wie viel personenbezogene Datenverarbeitung ist tatsächlich in typi- 
schen Konstellationen erforderlich, und wo funktioniert es vollständig 
ohne Personenbezug? 


Wie baut man datensparsame Systeme? 


Datensparsamkeit - eine Annäherung 


Datensparsamkeit zielt auf die maximale Reduktion von personenbezoge- 
ner Datenverarbeitung. Dies kann auf verschiedene Weisen realisiert wer- 
den, insbesondere durch Minimierung im Umfang oder - vielfach noch 
besser — Minimierung im Personenbezug: 


Reduktion des Umfangs der verarbeiteten personenbezogenen Daten: 


Hier geht es nicht darum, Bytes zu sparen. Auch die Vorstellung, von 
einem Datenprofil über eine Person möglichst wenige Datenfelder zu 
verarbeiten, reicht noch nicht aus. Vielmehr müssen Informationsge- 
halt und Verarbeitungsmöglichkeiten der Daten einbezogen werden, 
wenn man pro Einzelfall über die datensparsamste Lösung nachdenkt. 
Die Bewertung, welche von mehreren Datenverarbeitungsalternativen 
datensparsamer ist, führt nicht immer zu einem eindeutigen Ergebnis. 
Darüber hinaus können sich Lösungen in ihrer Funktionalität unter- 
scheiden, z.B. wenn bei Prepaid-Karten zwar auf den Personenbezug 
verzichtet werden kann, jedoch im Gegensatz zu anderen Abrech- 
nungsmodellen eine Vorausbezahlung notwendig ist. 


Reduktion des Personenbezugs, d.h. der Verkettungsmöglichkeit 


- zur Person: 
Dies bedeutet, dass dem Verarbeiter der Daten (und ggf. weiteren 
Beobachtern) nicht bekannt ist, zu wem die Daten gehören. Inso- 
weit sind die Daten also anonym. Ein Beispiel für Unverkettbarkeit 
zur Person sind vom Nutzer selbst gewählte Pseudonyme, deren 
Zuordnung zur Person des Nutzers anderen — zumindest anfänglich 
— unbekannt ist. 
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- zu anderen Daten: 

Werden Pseudonyme (oder Kennungen) mehrfach benutzt, dann 
sind diese Vorkommen mit den damit zusammenhängenden Daten 
miteinander verkettbar. Dadurch lassen sich Profile anlegen, die 
häufig detaillierte Informationen über Lebensumstände des Nutzers 
enthalten und damit einen Schluss auf seine Identität zulassen. Für 
eine Unverkettbarkeit darf es nichts geben, über das Daten, die zur 
selben Person gehören, in Zusammenhang gebracht werden kön- 
nen. Dies kann z.B. durch die Verwendung ständig wechselnder 
Pseudonyme erreicht werden. Will man Pseudonyme wiederholt 
gebrauchen, z.B. um eine Reputation aufzubauen, ist es hilfreich, 
wenn dadurch möglichst wenig zusätzliche Informationen bekannt 
werden. Dafür empfiehlt es sich, pro Rolle und Kom- 
munikationspartner verschiedene Pseudonyme zu nehmen, die über 
ihren jeweiligen Rollen- und Kommunikationspartnerkontext hinaus 
keine Verkettung zulassen. 


Datensparsamkeit umfasst daneben auch die Einschränkung der Verarbei- 
tungsmöglichkeiten personenbezogener Daten, angefangen von der Erfas- 
sungsmöglichkeit. Zweckbindung sowie wirkungsvolle Kontrolle der 
Zugriffe und Zugriffsberechtigungen gehören ebenfalls dazu. 


2.3.2 Datensparsamkeit am Beispiel E-Commerce 


Wie viel Verkettbarkeit ist denn nun tatsächlich nötig? Dies untersuchen 
wir am Beispiel des E-Commerce, wo wir folgende Phasen unterscheiden: 


Produktrecherche 


Aushandlung über den Werteaustausch, insbesondere über Preis und 
Produkt 


Werteaustausch mit Bezahlung und Auslieferung 
ggf. Umtausch/Garantie 


Kundenbetreuung 


Die folgende Abbildung stellt geeignete Mechanismen für eine möglichst daten- 
sparsame Realisierung dar, die in Kapitel 3 näher erläutert werden [CIKö_01]: 
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Abb. 1: Phasen im E-Commerce 


Wie man sieht, kann in einem wirklich datensparsamen E-Commerce-Sys- 
tem, das zumindest aus Nutzersicht mit keinen Abstrichen in puncto ge- 
wohnter Funktionalität verbunden ist, auf eine Verkettung zwischen den 
Phasen verzichtet werden. Vielmehr kann man es dem Nutzer freistellen, 
ob er selbst eine Verkettung herstellt, und ihm damit eine "steuerbare Ver- 
kettbarkeit" ermöglichen. 


Generell ergibt sich, dass ein Verzicht auf den Personenbezug vielfach 
auch für rechtsverbindliche Transaktionen möglich ist [PfFWP_90]. Wo dies 
nicht der Fall ist, können normalerweise Pseudonyme — je nach Anwen- 
dung mit spezifischen Eigenschaften — zum Einsatz kommen. 


Bei all diesen Lösungen gilt: Wünscht der Nutzer eine Verkettung und/ 
oder Preisgabe seiner Daten, bleibt ihm dies natürlich unbenommen. 


Bau datensparsamer Systeme 


Typische Mechanismen sind bereits in Abb. 1 erwähnt: Pseudonyme, blin- 
de digitale Signaturen usw. Außerdem muss man beim Design und Imple- 
mentieren darauf achten, dass nicht versehentlich doch mehr perso- 
nenbezogene Informationen auftauchen, z.B. in Form von (eigentlich) 
temporären Dateien oder durch mangelhaft gelöschte Daten. 


Die grundsätzlichen Mechanismen sind schon etwa 20 Jahre lang bekannt 
— aus Informatikersicht sind sie also uralt! Sicherlich hat sich in letzter Zeit 
in Bezug auf Rechenpower und Algorithmen einiges getan, um die prakti- 
schen Einsatzmöglichkeiten zu verbessern, doch haben diese Methoden 
bislang nicht den Wissenschaftsbereich verlassen. Aber ist man denn nicht 
gesetzlich verpflichtet, möglichst datensparsame Systeme zu bauen? 


Generell kann man sich am "Stand der Technik" orientieren — rechtlich ist 
man nicht zu mehr als zu diesem "State-of-the-Art" verpflichtet. Und der 
sieht zum Thema PET zurzeit noch sehr zurückhaltend aus, die heutige 
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Infrastruktur für technische Kommunikation ist alles andere als daten- 
schutzfreundlich, und verbreitete Standards sehen PET-Ideen meist gar 
nicht vor. Aber dies gilt nicht nur für die technische Realisierung, sondern 
gesetzlich geregelte Datenverarbeitungskataloge könnten bei genauem 
Durchdenken meist ebenfalls datensparsamer gefasst werden. 


Zum Glück entwickeln sich mittlerweile Anreize für mehr Datenschutz in 
und durch Technik: 


e Die Verarbeiter können vom Verzicht auf den Personenbezug profitie- 
ren, da sie dann nicht die strengen Regelungen des Datenschutzrechts 
zu beachten haben. 


e Datenschutzgütesiegel für die Einhaltung von Datenschutz in IT- 
Produkten können einen Marktvorteil bieten. 


e Die Zahl der sensibilisierten Nutzer nimmt zu, die PET nachfragen. 


e Auf nationaler und internationaler Ebene hat man erkannt, dass insbe- 
sondere in infrastrukturellen Bereichen PET deutlicher gefördert wer- 
den muss. Fördermittel speziell für "Privacy Technology" stehen bei- 
spielsweise im 6. Forschungsrahmenprogramm der EU zur Verfügung. 


Die Realisierung: Mein Identitätsmanager 


Datenschutzfördernde Identitätsmanagementsysteme (IMS) können das 
Datenschutztool der Zukunft werden. Ihre technische Kernfunktionalität ist 
die nutzergesteuerte (Un-)Verkettbarkeit; der Nutzer kann also gemäß dem 
Recht auf informationelle Selbstbestimmung grundsätzlich entscheiden, 
wer was wann über ihn erfährt. Je nach Situationen und Kontexten lassen 
sich unterschiedliche Pseudonyme, die jeweils Teilidentitäten des Nutzers 
repräsentieren, verwenden. Identitätsmanagementsysteme unterstützen den 
Nutzer in der Verwaltung, d.h. in der Auswahl und Gestaltung, seiner Teil- 
identitäten. Im Folgenden werden Funktionalität und Mechanismen daten- 
schutzfördernder Identitätsmanagementsysteme beschrieben. 


Alle Freiheitsgrade 


Absolute Anonymität ist nicht immer erwünscht - so ist ein Identitäts- 
managementsystem auch kein reines Anonymitätswerkzeug, sondern lässt 
prinzipiell beliebige Freiheitsgrade des Personenbezugs zu. Die Applikati- 
onen werden normalerweise ihre Anforderungen an und Wahlmöglichkei- 
ten für den Nutzer, gerade in Bezug auf die notwendigen Eigenschaften 
der von ihm verwendeten Teilidentitäten, definieren. Unter welchen Um- 
ständen ist beispielsweise vollständige Anonymität möglich, und wann 
müssen Authentizität und Zurechenbarkeit des Nutzers, z. B. mit Hilfe von 
digitalen Signaturen nachgewiesen werden? 


Auch das Verhandeln über personenbezogene Daten und über die Modali- 
täten ihrer Nutzung können Identitätsmanagementsysteme grundsätzlich 
unterstützen. 


Zusammengefasst: Soweit im jeweiligen Kontext möglich, sollte ein Identi- 
tätsmanagementsystem dem Nutzer Folgendes bieten [KöPf_01]: 
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1. Steuerung, wer wobei welche seiner personenbezogenen Daten erhält 
und wie verwenden darf, und — da dies nicht immer erreichbar ist — 


2. Darstellung, wer welche seiner personenbezogenen Daten erhält und 
wie verwenden sollte (bzw. welche Zusagen an die Verarbeitung be- 
stehen). 


Ich bin mein eigener Datenschützer! 


Selbstdatenschutz wird bei Identitätsmanagement groß geschrieben. Ohne- 
hin ist es in der heutigen digitalen Welt nicht möglich, Datenschutz inter- 
national gleichermaßen gut durchzusetzen. Daher verlagert sich die Ver- 
antwortung über den eigenen Datenschutz hin zum Nutzer. 


Natürlich können Nutzer nur dann ihre eigenen Datenschützer sein, wenn 
ihnen ihre Rechte und die jeweiligen Situationskontexte bewusst sind. Dies 
erfordert sowohl Medienkompetenz als auch ein gewisses Datenschutz- 
Know-how, das am besten schon in der Schule vermittelt werden sollte. 
Außerdem ist die Usability der Identitätsmanagementsysteme von großer 
Bedeutung. 


..„. In my pocket 


Am besten findet das gesamte Managen alles Datenschutzrelevanten unter 
vollem Einfluss des Nutzers statt. Dazu sollte man das Identitätsmanage- 
mentsystem im Bereich des Nutzers, vorzugsweise unter seiner vollständi- 
gen Kontrolle, zur Verfügung stellen, beispielsweise in einem PDA (Perso- 
nal Digital Assistant) oder Handy, worüber die digitale Kommunikation 
abgewickelt wird, für die das Identitätsmanagementsystem als Gateway 
agiert. 


zrniiglied seit» 
:bankverbindung» mn Kassenwart 


| Polizeisport- 
N \warein 






a... i dr. 

a > 

et 
a 
“ulm 


— 


Freischaltung 


Identitäts- 
manager 





Pseudonyme 










| 


ckontonr. > 


<ausgewiesen mit» 
| | cdispū» ; i 


zWornäame 


<geburlsdalum> 
:geburlsor> 


<address> 











Sparkasse 
Berlin 





Maldsami 
Kiel 





Abb. 2: Identitätsmanager im PDA 
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Manchmal werden Nutzer es bevorzugen, den Identitätsmanager in ihrem 
Home-PC zu verwenden. Dienstlich ließen sich darüber hinaus Dienst- 
Identitätsmanager auf dortigen Rechnern bereitstellen. Oder in bestimmten 
Fällen kann es bequemer sein, wenn der Identitätsmanager auf Servern im 
Internet läuft — hier werden die Nutzer jedoch vielfach keine vollständige 
Kontrolle haben, und ihr Nutzungsverhalten ist von den Serverbetreibern 
in der Regel beobachtbar. 


Alles pseudo, oder was? 


Pseudonyme repräsentieren die verschiedenen Teilidentitäten des Nutzers, 
die dieser mit seinem Identitätsmanager verwaltet. Diese Pseudonyme 
können je nach Anwendung und Auswahl des Nutzers verschiedene Ei- 
genschaften aufweisen [PfKö_01l. 


Von besonderer Bedeutung ist das Wissen über die Zuordnung zwischen 
einem Pseudonym und seinem Inhaber und damit verbunden auch die 
Möglichkeit der Aufdeckung durch die Parteien, denen diese Zuordnung 
bekannt ist. In einigen Applikationen werden die Nutzer verpflichtet sein, 
Pseudonyme zu verwenden, die in vorher definierten Fällen, beispiels- 
weise im Falle eines Missbrauchs, aufgedeckt werden können. 


Ein anderer Punkt besteht in der Verkettbarkeit bei Verwendung des Pseu- 
donyms in verschiedenen Kontexten, wobei man zwischen den folgenden 
Pseudonymarten unterscheidet: 


e  Personenpseudonym: Ein Personenpseudonym repräsentiert die bür- 
gerliche Identität des Pseudonyminhabers. Es kann in allen Kontexten 
zum Einsatz kommen, zum Beispiel die Personalausweisnummer. 


e  Rollenpseudonym: Die Verwendung von Rollenpseudonymen ist be- 
grenzt auf spezifische Rollen, zum Beispiel als Einkäufer oder Internet- 
Nutzer. Dasselbe Rollenpseudonym kann gegenüber verschiedenen 
Kommunikationspartnern zum Einsatz kommen. Rollen können von 
anderen Parteien, zum Beispiel dem Arbeitgeber, zugewiesen oder von 
der Person selbst gewählt werden. 


e  Beziehungspseudonym: Pro Kommunikationspartner wird ein unter- 
schiedliches Beziehungspseudonym verwendet. Dasselbe Beziehungs- 
pseudonym kann in verschiedenen Rollen gegenüber demselben Part- 
ner zum Einsatz kommen, zum Beispiel ein Spitzname. 


e  Rollenbeziehungspseudonym: Pro Rolle und pro Kommunikationspart- 
ner werden verschiedene Rollenbeziehungspseudonyme verwendet. 
Dadurch kann dem Kommunikationspartner verborgen bleiben, ob 
zwei Pseudonyme, die in unterschiedlichen Rollen benutzt werden, 
zum selben Pseudonyminhaber gehören. Umgekehrt wissen zwei un- 
terschiedliche Kommunikationspartner, die mit dem Teilnehmer in der 
gleichen Rolle interagieren, nicht allein anhand des Pseudonyms, ob 
es derselbe Teilnehmer ist. 
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èe Transaktionspseudonym: Pro Transaktion wird ein unterschiedliches 
Transaktionspseudonym verwendet, zum Beispiel zufällig generierte 
Transaktionsnummern für Online-Banking. Daher gibt es keine Mög- 
lichkeit, verschiedene Transaktionen einer Person aufgrund Gleichheit 
von Pseudonymen zu verketten. 


In der folgenden Abbildung wird Anonymitätsstärke dieser Pseudonymar- 


ten durch die Pfeile repräsentiert: A— B bedeutet „B ermöglicht stärkere 
Anonymität als A“. 
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Abb. 3: Pseudonymarten in Bezug auf Verkettbarkeit ihrer Verwendung 


Generell bieten sowohl Rollen- als auch Beziehungspseudonyme stärkere 
Anonymität als Personenpseudonyme. Die Stärke der Anonymität steigt mit 
der Verwendung von Rollenbeziehungspseudonymen. Die stärkste Ano- 
nymität in dieser Klassifikation lässt sich mit Transaktionspseudonymen 
erreichen. Anonymität ist um so stärker, 


e je weniger personenbezogene Daten des Pseudonyminhabers mit dem 
Pseudonym in Verbindung gebracht werden können; 


e je seltener und je weniger kontextübergreifend die Pseudonyme einge- 
setzt werden, so dass weniger Informationen über den Inhaber ver- 
kettbar sind; 


e je häufiger für neue Aktionen unabhängig gewählte, das heißt, für 
einen Beobachter nicht verkettbare Pseudonyme verwendet werden. 


Als Standard könnte ein Identitätsmanagementsystem stets Transaktions- 
pseudonyme verwenden und nur dann Pseudonyme wieder verwenden, 
wenn der Nutzer dies ausdrücklich wünscht, um z.B. an vorigen Pseudo- 
nymgebrauch anzuknüpfen und ggf. eine Reputation aufzubauen oder 
einen Bonus in Anspruch zu nehmen. 
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Die Aussagekraft verketteter Daten kann darüber hinaus durch Verwen- 
dung derselben Pseudonyme durch verschiedene Nutzer (nacheinander 
durch Pseudonymübertragung oder gleichzeitig bei gesondert zu diesem 
Zweck geschaffenen Gruppenpseudonymen) oder durch (gezielte) Miss- 
information gemindert werden. 


Neben den genannten Eigenschaften können sich die Pseudonyme einge- 
bettet in das System ihrer Verwendung beispielsweise unterscheiden be- 
züglich 

e Begrenzung auf eine feste Anzahl von Pseudonymen pro Person, 

e  garantierter Eindeutigkeit, 

e Übertragbarkeit auf oder Nutzbarkeit durch andere Personen, 


e Authentizität der Zuordnung zur Person (Möglichkeiten der Verifika- 
tion/Falsifikation bzw. Belegbarkeit oder Abstreitbarkeit), 


e  _Umrechenbarkeit (Credential), das heißt Übertragbarkeit von Attribu- 
ten eines Pseudonyms auf ein anderes, 


e Möglichkeit und Häufigkeit des Pseudonymwechsels, 

e Begrenzung der Verwendungshäufigkeit, 

e Gültigkeit (z.B. zeitlich oder beschränkt auf spezielle Anwendungen), 
e Möglichkeit der Rückziehbarkeit oder Sperrung, 


e Mitwirkung des Pseudonyminhabers oder anderer Parteien bei der 
Pseudonymgenerierung. 


Identifizierbarkeit > Anonym tät 


Verschiedene Abstufungen: Wem gegenüber wie anonym? 





Identifizierbarkeit <Pseudonym tät> Anonymität 
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wer bestimmt Zuordnung Berechtigungen 
Pseudonym? aufdeckbar? enthalten? 
einer Person Gebrauch 
fest zugeordnet? verkettbar? 


Abb. 4: Pseudonymität umfasst die Bandbreite zwischen Identifizierbarkeit 
und Anonymität 
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Es ist in den Applikationen zu definieren, welche Anforderungen an das 
Pseudonym und seine Verwendung gestellt werden und in welchem Be- 
reich der Nutzer über Freiheitsgrade in Bezug auf die Pseudonymwahl und 
-verwendung verfügt. 


Credentials - keine Glaubensfrage 


Ein Mechanismus für Identitätsmanagementsysteme, um auch Autorisie- 
rungen unverkettbar zu realisieren, sind Credentials. Bei Credentials han- 
delt es sich um umrechenbare Beglaubigungen im digitalen Format, durch 
die sich Autorisierungen, die ein Nutzer unter einem Pseudonym erworben 
hat, auf andere seiner Pseudonyme übertragen lassen, ohne dass sie auf 
die anderer Nutzer transferiert werden können [Chau_84, CaLy_00]. Mit 
Hilfe der gleichen Credentials unter verschiedenen Pseudonymen kann 
einer Verkettbarkeit entgegengewirkt werden. 


Das Konzept der Credentials aus der digitalen Welt ist wirklich "privacy- 
enhancing", denn es hat keine Entsprechung in der herkömmlichen Off- 
line-Welt: Man kann es sich so vorstellen, dass beispielsweise ein Führer- 
schein oder Personalausweis bei jedem Vorzeigen anders aussieht, obwohl 
er an die Person, der er gehört, gebunden bleibt und auch keine Zweifel 
an der Authentizität und Zurechenbarkeit erlaubt. 


Gewusst, wie (und was)? 


Identitätsmanagementsysteme sollen Nutzern Transparenz über die Daten- 
verarbeitung und die Datenschutzrechte im jeweiligen Kontext bieten. 
Transparenz ist Bedingung für informierte Entscheidungen des Nutzers. 
Außerdem sollen Nutzer die Möglichkeit haben, die Verarbeitung ihrer 
Daten (oder zumindest die von ihnen getroffenen Entscheidungen sowie 
die zugehörigen Entscheidungsgrundlagen) auch später noch nachvollzie- 
hen zu können. Diese nachträgliche Kontrolle durch den Nutzer unter- 
stützt ein datenschutzförderndes Identitätsmanagementsystem durch 


e Abwickeln von Auskunfts-, Berichtigungs- oder Löschungsbegehren 
sowie von Einwilligung und Widerspruch, 


e Protokollieren der Herausgabe von Daten und der näheren Umstände 
sowie 


e _Auswerten der Protokollierung zur Darstellung, was die Kommunikati- 
onspartner bisher über den Nutzer in Erfahrung gebracht haben. 


Es ist eine Herausforderung, aus den Logdateien die für den Nutzer jeweils 
sinnvollen Informationen herauszukristallisieren und überflüssige Einträge 
zu löschen, um keine Datenfriedhöfe im Identitätsmanager entstehen zu 
lassen. 
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Das Umfeld: Identitätsmanagement überall 


Für das Wahrnehmen von Datenschutzrechten ist es hilfreich, wenn der 
Nutzer in seinem Bereich einen Identitätsmanager als Tool einsetzt, doch 
reicht es nicht aus, sich auf den Nutzerbereich zu beschränken [Köhn_01l. 


Gemeinsam geht alles besser! 


Die Kommunikationspartner, z.B. Webserver-Betreiber, können das Iden- 
titätsmanagement der Nutzer unterstützen, indem sie über die Verwen- 
dungsmöglichkeiten von (möglichst unverkettbaren) Pseudonymen infor- 
mieren (z.B. im Rahmen von Datenaustauschprotokollen, bei denen An- 
fang und Ende von Transaktionen, in denen eine Verkettbarkeit erforder- 
lich ist, gekennzeichnet sind oder bei denen Kontextwechsel angekündigt 
werden). Weiterhin können sie in ihre Applikationen unmittelbar Daten- 
schutzkontrollfunktionalität für den Nutzer einbauen, so dass dieser online 
und ohne zusätzlichen Aufwand seine Datenschutzrechte, wie z.B. Aus- 
kunft, Berichtigung, Löschung, Einwilligung und Widerspruch, wahrneh- 
men kann. 


Dritte Parteien können Identitätsmanagement ebenfalls in vielerlei Hinsicht 
befördern, z.B. mit Treuhänderfunktionen für die Abwicklung von Ge- 
schäften im Internet: 


Identitätstreuhänder verfügen über meist beweisgeeignete identifizierende 
Daten (z.B. Namen und Erreichbarkeit) eines beispielsweise am Werteaus- 
tausch Beteiligten und können diese offen legen. Unter vorab definierten 
Umständen, z.B. Nichterfüllung einer Vertragsleistung, sollten sie dies tun. 
Wertetreubänder nehmen alle auszutauschenden Werte der Beteiligten 
entgegen und stellen sie den Adressaten zu. Die Kenntnis der Identität der 
Beteiligten ist dazu nicht notwendig. Bei einer physischen Zustellung der 
Güter kann ein spezieller Lieferdienst beauftragt werden, der als Einziger 
die Adressinformation besitzt, aber weder Absender noch Inhalt der Sen- 
dung kennen muss. Eine ähnliche Entkopplung ist mit einem Bezabhldienst 
möglich. Ein Haftungsservice übernimmt, meist nachdem ein Beteiligter 
dort Geld für diesen Zweck hinterlegt hat, gegenüber anderen Beteiligten 
die Haftung in der vereinbarten Höhe des Betrags oder haftet bei anderen 
Vertragspflichten. Wiederum ist das Wissen über die Identität nicht erfor- 
derlich. 


Hinzu kommen die Parteien für Public-Key-Infrastrukturen (PKD, die bei- 
spielsweise Key-Server oder Zertifikats-Server betreiben. Andere dritte Stel- 
len, z.B. aus dem E-Government-Bereich, können das Ausstellen von Cre- 
dentials übernehmen. 


Hilfe von Profis und Community 


Über einen Datenschutz-Infoservice lassen sich Informationen und Pro- 
gramme zu Identitätsmanagement verteilen. Dazu gehören Privacy-Tools, 
Konfigurationsempfehlungen oder Meldungen zu Sicherheitsrisiken. Wich- 
tig sind Informationen über Verkettungsmöglichkeiten von personenbezo- 
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genen Daten in Zusammenhang mit öffentlichen Verzeichnissen, besonde- 
ren Geschäftsentwicklungen oder bestimmten Systemen. 


Der Betrieb solcher vertrauenswürdiger Privacy Information Services könn- 
te eine neue Aufgabe für Datenschutzbeauftragte werden. Daneben ist es 
möglich, dass sich die Nutzer-Community selbst hilft, indem Erfahrungen 
in strukturierter (maschinenlesbarer) Form anderen Nutzern zur Verfügung 
gestellt werden. 


Anonymes Fundament 


Ein wirklich funktionierendes Identitätsmanagement darf sich nicht auf 
Applikationsebene beschränken, sondern zieht sich durch auch in tieferen 
technischen Schichten. Insbesondere macht eine differenzierte Behandlung 
von Teilidentitäten und eine Kontrolle über (Un-)Verkettbarkeit in der 
Applikation nur dann Sinn, wenn der dadurch definierte Grad des Daten- 
schutzes nicht an anderer Stelle unterlaufen wird. Dies bedeutet im opti- 
malen Fall, dass auf Netzebene Anonymität und Unbeobachtbarkeit [Fe- 
de_03] garantiert wird — und damit die Telekommunikations- und Netz- 
betreiber keine Möglichkeit haben, um Nutzer(verhalten) zu beobachten 
oder zu identifizieren. Fehlt dieses anonyme Fundament, ist fraglich, ob 
sich ein sinnvolles — da nämlich dann durch Dritte beobachtbares — Identi- 
tätsmanagement überhaupt realisieren lässt. 


Vielschichtige Lösung 


Die Schichten, die in Zusammenhang mit Identitätsmanagementsystemen 
wichtig sind, werden im Folgenden erläutert: 


e die eigentliche Applikation "Identitätsmanager" mit Hardware und 
Software unter Einfluss des Nutzers, mit korrespondierendem Tool auf 
Anbieterseite (z.B. aus dem Bereich E-Commerce oder E-Government); 


e die IMS-Infrastruktur, die Services speziell für das Funktionieren von 
Identitätsmanagern beinhaltet, z.B. Treuhänder oder andere dritte Stel- 
len sowie eine möglichst datenschutzfördernde PKI; 


e die Datenschutzinfo-Infrastruktur, deren Aufbau und Betrieb durch 
weitere (vierte) Parteien wie z.B. Datenschutzbeauftragte oder die In- 
ternet-Community geleistet werden könnte; 


e die Technikinfrastruktur, die Funktionalität im Bereich der Datensi- 
cherheit und der Anonymität zur Verfügung stellt (z.B. Kryptobiblio- 
theken oder einen funktionsfähigen Anonymitätsdienst); sowie 


e die Gesellschaftsinfrastruktur, bei der auch Versicherungen im Bereich 
des Identitätsmanagements, die Ausbildung der Nutzer oder das 
zugrunde liegende Rechtssystem eine Rolle spielen. 
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Abb. 5: Die Schichten in Zusammenhang mit Identitätsmanagement 


5 Die Integration: Society goes Identity Management? 


Für ein Mehr an Datenschutz muss man sich grundsätzlich zu und auf 
allen im vorigen Kapitel identifizierten Schichten mit ihren Services Ge- 
danken machen, inwieweit die Voraussetzungen für datenschutzförderndes 
Identitätsmanagement bereits bestehen und wie sie geschaffen werden 
können. 


5.1 Identitätsmanagementsysteme - ein schillernder Begriff 


Seit kurzer Zeit verbreiten sich Tools, die sich Identitätsmanagementsystem 
nennen, im ganzen Internet und darüber hinaus. Es geht hier um "Single- 
Sign-On" oder Passwortverwaltung, manchmal auch um grobe Konfigurati- 
onsmöglichkeit für Datenschutzkriterien oder auch um Aushandlungsmo- 
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dule, welche personenbezogenen Daten zu welchen Bedingungen heraus- 
gegeben werden. 


Allerdings erfüllt kein existierendes Identitätsmanagementsystem die aus 
Datenschutzsicht motivierte Beschreibung in diesem Text. Stattdessen sind 
heutige Systeme häufig nicht datenschutzfreundlich [Köhn_01], ja, einige 
haben sogar überhaupt nichts mit Datenschutz zu tun! Einige der Systeme 
arbeiten nur außerhalb des Nutzerbereichs und erfordern damit im Gegen- 
satz zu den Prinzipien der mehrseitigen Sicherheit ein Vertrauen der Nut- 
zer in die entsprechenden Systeme. 


Evolution - ein allmählicher Prozess 


Identitätsmanagement in seiner vollständigen Technikunterstützung wird 
sich nicht unmittelbar verwirklicht werden, sondern dieses datenschutz- 
freundliche Konzept wird sich in der Praxis erst allmählich umsetzen las- 
sen. Die Designer eines Identitätsmanagementsystems sollten versuchen, 
den Änderungsaufwand klein zu halten und an bisher verfügbare Technik 
wie z.B. auf der Serverseite oder in den PKI anzuknüpfen, sofern es geht. 
Dies kann auch die Akzeptanz von Nutzern und Anbietern verbessern. 


Eine Förderung von Seiten der EU kann hier maßgeblich zum Gelingen 
beitragen, damit es in dem evolutionären Prozess der Einführung von I- 
dentitätsmanagement einen Anschub gibt für beispielsweise die Definition, 
Implementierung und Verbreitung gemeinsamer Schnittstellen für die Ko- 
operation der unterschiedlichen Parteien. Auch das Ausgestalten der Infra- 
strukturen einschließlich des Aufzeigens von Business-Modellen für Treu- 
händer o.Ä. könnte im Rahmen eines EU-Projektes geschehen. 


Die Zukunft: Mit Identitätsmanagement 


Eine Vision: Identitätsmanagement in der Praxis 
Wie kann man sich also ein Identitätsmanagement der Zukunft vorstellen? 


Hier ein fiktives Beispiel aus dem Gesundheitsbereich, das zeigt, wie Nut- 
zer — unterstützt von technischen Systemen und eingebettet in eine geeig- 
nete Infrastruktur - ihre Teilidentitäten in der digitalen Welt managen und 
ihre Datenschutzrechte wahrnehmen können: 


„Silvia hat einen Unfall. Hoffentlich nichts Ernstes, denkt sie, aber um si- 
cher zu gehen, möchte sie einen Arzt aufsuchen. Beim Anmelden im 
Krankenhaus zeigt sie ihr Krankenversicherungszertifikat, das auf ihrem 
PDA gespeichert ist - es gewährleistet, dass die Krankenhausrechnung 
bezahlt wird, aber es enthält nicht ihren Namen: Alle Patienten können 
anonym bleiben, wenn sie es so möchten. Silvia hat Glück: Der Doktor 
sagt ihr, dass alles in Ordnung ist; er speichert lediglich ein Rezept für das 
Beruhigungsmittel Baldrian auf ihren PDA und empfiehlt eine Massage. 
Silvia kauft das Beruhigungsmittel in der WerdGesund GmbH Apotheke 
und zeigt dort das Rezept vor — wieder ohne Bezug zu ihrem echten Na- 
men oder ihrer Adresse. Die Apotheke signiert den Kauf, sodass sie die 
Kosten von ihrer Krankenversicherung erstattet bekommen kann, wenn sie 
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die Signatur vorzeigt. Zusammen mit dem Baldrian bekommt sie einen 
Gutschein über 50 % Ermäßigung auf das Buch „Heilkräuter und Gesund- 
heit“, der ebenfalls in den Speicher ihres PDA geladen wird. 


Auf dem Weg nach Hause baut Silvia eine Internet-Verbindung zu ihrem 
Lieblingsbuchladen au f. Am Morgen war sie schon zu dessen Website 
gesurft. Da hatte sie sich unter ihrer normalen Nutzer-ID mit ihrem Käu- 
ferprofil eingeloggt und bekam eine Empfehlung für das neue Buch von 
ihrem Lieblings-Science-Fiction-Autor. Sie hatte es sofort gekauft und den 
Text auf ihr E-Book geladen - in der Hoffnung, abends mit dem Lesen 
beginnen zu können. Als sie jetzt erneut die Verbindung zu der Website 
aufbaut, signalisiert das Privacy Fenster in ihrem Browser, dass die Privacy 
Policy der Site mit den rechtlichen Anforderungen und mit ihren eigenen 
Datenschutzeinstellungen übereinstimmt. Ihr Browser informiert sie, dass 
die Site bereits ihren echten Namen und ihr Postfach von vorigen Transak- 
tionen hat, aber dass sie sich entscheiden kann, während dieser Interak- 
tion anonym zu bleiben: Der Heilkräuterbuch-Gutschein, den sie einlösen 
will, ist nämlich anonym. Sie löst also anonym den Gutschein ein, bezahlt 
mit AnonCash und lädt das Buch herunter. Danach surft Silvia zur Website 
von EntspannFix, einem Massage-Salon. Sie gibt im Online-Anmeldefor- 
mular eine Einmal-Telefonnummer an, die sich ihr PDA beim Telekommu- 
nikations-Anbieter hat zuteilen lassen und über die EntspannFix sie zur 
Terminvereinbarung erreichen kann. Ein paar Minuten später signalisiert 
der PDA ihr den eingehenden Anruf und zeigt dabei den Anrufer, den 
Zweck des Anrufs sowie das Masseur-Zertifikat an, ausgegeben von der 
Masseur-Innung. Sie vereinbaren einen Termin für den Abend. Nun kann 
Silvia endlich ausruhen und ihre neuen Bücher lesen.“ 


Wind of change 


Identitätsmanagementsysteme modellieren einen Teil der Welt und bringen 
dort Selbstdatenschutzmöglichkeiten für den Nutzer ein. Durch das nutzer- 
bestimmte Konzept und seine technischen Umsetzung wird die Idee des 
Datenschutzes in der Informationsgesellschaft vorangebracht. Identitätsma- 
nagement wird damit das Datenschutzkonzept der Zukunft. 


Im Zuge der Einführung von mehr Identitätsmanagement müssen parallel 
zur technischen Standardisierung von Schnittstellen o.Ä. (zielgruppenspe- 
zifische) Usability- und gesellschaftliche Fragen untersucht werden. Iden- 
titätsmanagement wird den Datenschutz prägen, aber auch die Gesellschaft 
verändern, z.B. weil der Umgang mit Teilidentitäten nun nicht mehr rein 
implizit ist, sondern zu einem größeren Bewusstsein der Rollen und der 
Datenschutzrechte führt. Dadurch kann der Datenschutz an Bedeutung 
und an Selbstverständlichkeit gewinnen. 
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